Manuel Statik Analiz — NetSupportRAT (RMM Kötüye Kullanımı) | Tehdit: YUKSEK
Файл Kimliği
| SHA256 | dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Имя файла | Rate_RATE_AGR_Jun29.exe |
| Размер | 201.728 byte |
| String Sayisi | 735 |
Teslim Adlandırma Örüntüsü
Adlandırma: "Rate_RATE_AGR_Jun29.exe" — Faiz oranı (rate) anlaşması belgesi taklidi!
Rate_RATE_AGR_Jun29.exe -- "Rate" = faiz oranı / oran -- "AGR" = Anlaşma (Agreement) -- "Jun29" = 29 Haziran tarih damgası -- Finans/bankacılık sektörü hedefleme -- Belge taklidi ile indirme tuzağı
Meşru RMM Aracı Kötüye Kullanımı
NetSupportRAT, meşru NetSupport Manager uzak yönetim yazılımının kötüye kullanılmış versiyonudur. Tehdit aktörleri (özellikle TA569 / SocGholish) bu aracı tercih etmektedir çünkü kurumsal güvenlik araçları meşru RMM yazılımını engellemez. CISA, kötüye kullanılan RMM araçlarını (NetSupport, AnyDesk, ConnectWise) özel uyarıyla belgelemiştir.
IOC
| SHA256 | dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | Rate_RATE_AGR_Jun29.exe (faiz oranı anlaşma tuzağı) |
| Teknik | Meşru RMM kötüye kullanımı (CISA uyarı konusu) |
NetSupportRAT — Профиль вредоносного ПО
NetSupportRAT NetSupport Manager abuse. Legitimate remote management tool used maliciously. CurrentVersion\Run persistence.
Тип вредоносного ПО
RAT
Язык программирования
C++
C2 Протокол
TCP/HTTP
Целевые системы
Kurumsal
Возможности и поведение
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Список IOC (1 индикаторов)
IOC — NetSupportRAT
# SHA256
dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | dec98a1ef5d1d1b5201728b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=62 |