通过WordPress和ClickFix部署NetSupport RAT
2025年5月,Cybereason全球安全运营中心(GSOC)发现威胁行为者一直在托管恶意WordPress网站,以分发合法NetSupport Manager远程访问工具(RAT)的恶意版本。
本报告分析了威胁行为者部署NetSupport RAT有效负载的方法和工具,重点关注恶意JavaScript及相关技术,同时包含相关入侵指标(IOC)。
传播机制
威胁行为者利用网络钓鱼活动通过以下方式分发恶意网站链接:
- 钓鱼邮件
- PDF附件
- 游戏网站
攻击流程
- 网站入侵:恶意脚本在受害者访问的受感染网站上注入iframe
- DOM操纵:威胁行为者操纵文档对象模型(DOM)显示虚假验证码页面
- 有效负载投递:用户按照虚假验证码说明下载NetSupport RAT
- 感染后活动:威胁行为者连接到NetSupport客户端进程,并使用NetSupport远程命令提示符执行侦察
技术分析
阶段1:iframe注入(j.js)
通过已识别的传播方法之一,最终用户被重定向到恶意网站。
威胁行为者将恶意JavaScript嵌入网站索引页面的元描述中。当用户的浏览器加载页面时,会处理元标签并触发从域(islonline[.]org)下载和执行远程脚本(j.js)。
威胁行为者还在"主页"链接的锚标签中嵌入恶意JavaScript。因此,当用户点击看似正常的"主页"链接时,浏览器会尝试导航到主页,同时加载并执行恶意脚本(j.js)。
恶意网站加载以下JavaScript文件。
在攻击的第一阶段有两个版本的恶意文件j.js。当威胁行为者离线时,会加载空文件(j.js)脚本。
当威胁行为者活跃时,会部署修改版的JavaScript文件(j.js)。此脚本专门针对Windows操作系统用户并执行以下操作:
- 识别浏览器名称及其用户代理详细信息
- 确定受害者使用的是移动设备还是台式机
- 记录脚本执行日期
- 生成iframe从URL(https://AttackerDomain/files/index.php)加载PHP文件
恶意脚本(j.js)在浏览器本地存储中存储名为"lastvisit"的数据项,以跟踪用户是否之前访问过该网页。如果用户之前访问过该网站,脚本会避免生成iframe,使攻击者能够掩盖其存在。
阶段2:DOM脚本注入(index.php)
恶意文件(index.php)动态生成脚本元素,使用document.createElement()方法注入JavaScript。
在下面的代码块中,src属性指向托管脚本(select.js)的另一个恶意网站。iframe将从恶意URL加载(select.js)脚本。
(select.js)文件包含加载虚假验证码页面的脚本。
阶段3:虚假验证码页面(Select.js)(ClickFix技术)
(select.js)脚本执行多个DOM操作,例如注入Tailwind CSS样式表来设计验证码界面,移除现有样式表以覆盖网站原始设计,以及渲染基于React的验证码挑战。
虽然看起来像人机验证步骤,但该页面使用navigator.clipboard.writeText(nE.command)将恶意命令复制到用户的剪贴板。然后显示指令,提示用户通过Windows运行对话框(Win + R)粘贴并执行它。
虽然观察到多个命令变体,但每个命令最终都会下载并执行包含NetSupport客户端文件的批处理文件。
阶段4:Curl.exe(jfgf.bat)
一旦运行,批处理文件在端点上执行以下操作:
- 检索ZIP存档
- 利用PowerShell将存档内容提取到当前用户配置文件下的%AppData%\Roaming目录中的文件夹
- 启动NetSupport客户端应用程序(client32.exe)
- 通过创建Windows注册表运行项建立持久性
- 通过删除初始ZIP存档执行清理
在文本编辑器中打开时,批处理文件在命令之间包含填充垃圾数据的大注释块。这很可能是一种旨在逃避检查的混淆技术。
去混淆版本的批处理文件如下所示。
ZIP存档包含NetSupport Client的完全分阶段部署,并附带几个支持组件。提取后存在以下文件:
| 文件名 | 描述 |
|---|---|
| client32.exe | NetSupport客户端应用程序 |
| client32.ini | NetSupport客户端配置文件 |
| HTCTL32.DLL | NetSupport HTTP传输 |
| Mss32.dll | Miles声音系统 |
| msvcp120.dll | Microsoft C运行时库 |
| msvcr100.dll | Microsoft C运行时库 |
| nskbfltr.inf | NS键盘过滤器 |
| NSM.ini | NetSupport组件文件 |
| NSM.LIC | NetSupport许可证文件 |
| pcicapi.dll | NetSupport pcicapi |
| PCICHEK.DLL | NetSupport pcichek |
| PCICL32.DLL | NetSupport客户端DLL |
| pnf1.dll | iTop VPN |
| remcmdstub.exe | NetSupport远程命令提示符 |
| TCCTL32.DLL | NetSupport TCP传输 |
启动后,NetSupport客户端应用程序(client32.exe)建立与客户端配置文件中指定的连接服务器的出站连接,然后在受感染机器上保持空闲状态,直到威胁行为者通过NetSupport Control连接到它。
整个攻击链如下图所示。
NetSupport Manager RAT分析
NetSupport Manager是一种合法的远程访问工具,专为远程系统管理而开发,使IT团队能够提供技术支持、管理多个站点的设备,并执行文件传输、支持聊天和库存管理等任务。然而,其完整的功能集使其成为威胁行为者的有吸引力的目标,他们重新利用它来获得对系统的未经授权访问、部署额外的恶意软件并进行进一步的攻击。
根据最近的一份报告,NetSupport Manager是2024年第七大最普遍的威胁。由于广泛被利用,该工具经常被称为恶意远程访问木马,而不是良性的远程访问工具。
NetSupport客户端配置文件(client32.ini)是NetSupport功能的核心,因为它定义了客户端如何连接到控制系统。此配置文件包含GatewayAddress设置,指定NetSupport连接服务器(网关)的IP地址。NetSupport连接服务器是NetSupport Manager的一个组件,提供使用HTTP通过互联网连接客户端和控制的方法。
在我们调查的最近入侵中识别的所有NetSupport连接服务器都位于(94.158.245[.]0/24)网络块内,该块注册给MivoCloud SRL,这是一家在摩尔多瓦运营数据中心的托管提供商。Shodan扫描显示这些IP地址与Windows Server操作系统相关联,并暴露了TCP/3389(RDP)和TCP/443(HTTPS)端口。
攻击后利用
NetSupport Manager提供的完整功能集,包括文件传输、远程命令执行和应用程序启动,使其成为进行攻击后活动的有效工具。
在初始入侵后的几小时内,观察到威胁行为者连接到受感染的端点,将文件传输到目录(C:\Users\Public\),并启动NetSupport远程命令提示符(remcmdstub.exe)以执行侦察命令,例如查询Active Directory中属于"Domain Computers"组的所有计算机帐户。
|
|
入侵指标(IOC)
| IOC | IOC类型 |
|---|---|
| 94.158.245[.]104 | IP |
| 94.158.245[.]118 | IP |
| 94.158.245[.]131 | IP |
| 94.158.245[.]137 | IP |
| pemptousia[.]com | 域名 |
| 172.67.70[.]20 | IP |
| fmovies123[.]top | 域名 |
| 79.141.173[.]158 | IP |
| badgervolleyball[.]org | 域名 |
| 209.17.116[.]165 | IP |
| islonline[.]org | 域名 |
| 23.23.49[.]179 | IP |
| lang3666[.]top | 域名 |
| 193.111.208[.]110 | IP |
| ace-project[.]org | 域名 |
| 162.214.153[.]12 | IP |
| jakestrack[.]com | 域名 |
| 50.87.146[.]66 | IP |
| christianlouboutin2017[.]top | 域名 |
| 77.83.199[.]34 | IP |
| jaagnet[.]com | 域名 |
| 107.180.0[.]222 | IP |
| 83.229.17[.]68 | IP |
| 9c4349534c137e3e43fb2e2caf049f9d | MD5 |
| 4f496bfde39ca83644265d8d1d9bc9da | MD5 |
| c05f8ec5afbabc36f1c1366549290ae6 | MD5 |
| 20ed4df3a9c734c1788bd2ca2658aedb | MD5 |
| ee75b57b9300aab96530503bfae8a2f2 | MD5 |
| 1768c9971cea4cc10c7dd45a5f8f022a | MD5 |
建议
一旦识别出受影响的端点,立即遏制至关重要,因为观察到威胁行为者在初始入侵后几小时内就开始操作。建议采取以下行动以减轻进一步风险:
- 隔离并确定是否需要执行取证分析。如果需要,应创建取证映像(保存副本)进行分析,以确定潜在数据风险的范围和威胁行为者活动的程度。如果不需要,继续进行内部/现有IT流程以恢复到"黄金映像"(基线)。
- 对本文"关键要点"部分下"扩展访问了以下浏览器数据:“中识别的"风险数据"进行取证分析,该部分详细说明了哪些数据元素可能面临风险,应考虑进行清点、重置,并可能进行后续调查以发现未经授权或意外的活动。
- 重置与受影响用户帐户相关的凭据,特别是具有管理访问权限的帐户。
- 在端点、网络和其他安全设备上阻止已识别的IOC(域名、IP、哈希值)。
- 重新映像受感染系统以确保完全清除。
- 教育用户识别可疑活动和网络钓鱼尝试,以降低再次感染的风险。
关于作者
Cristian Carrillo Mendez,T1 GSOC分析师
Cristian是Cybereason全球SOC团队的GSOC分析师,专门从事MalOp调查,并对威胁狩猎有浓厚兴趣。他持有多个行业认可的认证,包括GIAC GSEC、GCIH和GPEN。
Hema Loganathan,T2 GSOC分析师
Hema Loganathan是Cybereason全球SOC团队的GSOC分析师。她参与MalOp调查、恶意软件分析、逆向工程和威胁狩猎。Hema拥有信息系统的理学硕士学位。