Manuel Statik Analiz — NetSupportRAT (RMM Kötüye Kullanımı) | Tehdit: YUKSEK

Файл Kimliği

SHA256dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Имя файлаRate_RATE_AGR_Jun29.exe
Размер201.728 byte
String Sayisi735

Teslim Adlandırma Örüntüsü

Adlandırma: "Rate_RATE_AGR_Jun29.exe" — Faiz oranı (rate) anlaşması belgesi taklidi!
Rate_RATE_AGR_Jun29.exe
-- "Rate" = faiz oranı / oran
-- "AGR" = Anlaşma (Agreement)
-- "Jun29" = 29 Haziran tarih damgası
-- Finans/bankacılık sektörü hedefleme
-- Belge taklidi ile indirme tuzağı

Meşru RMM Aracı Kötüye Kullanımı

NetSupportRAT, meşru NetSupport Manager uzak yönetim yazılımının kötüye kullanılmış versiyonudur. Tehdit aktörleri (özellikle TA569 / SocGholish) bu aracı tercih etmektedir çünkü kurumsal güvenlik araçları meşru RMM yazılımını engellemez. CISA, kötüye kullanılan RMM araçlarını (NetSupport, AnyDesk, ConnectWise) özel uyarıyla belgelemiştir.

IOC

SHA256dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LureRate_RATE_AGR_Jun29.exe (faiz oranı anlaşma tuzağı)
TeknikMeşru RMM kötüye kullanımı (CISA uyarı konusu)

NetSupportRAT — Профиль вредоносного ПО

NetSupportRAT NetSupport Manager abuse. Legitimate remote management tool used maliciously. CurrentVersion\Run persistence.

Тип вредоносного ПО
RAT
Язык программирования
C++
C2 Протокол
TCP/HTTP
Целевые системы
Kurumsal

Возможности и поведение

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

Список IOC (1 индикаторов)

IOC — NetSupportRAT
# SHA256 dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
ТипЗначениеПримечание
sha256 dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=62
Теги
netsupportratrmm-abuserate-agr-lurelegitimate-tool-abuseta569rate-filename