威脅

• eSentire 的威脅回應部門 (TRU) 觀察到涉及 NetSupport RAT 的事件有所增加，從 2025 年 1 月初開始，一直持續到 2 月初。
• NetSupport RAT 使攻擊者能夠完全控制受害者的主機，使他們能夠監視螢幕、控制鍵盤和滑鼠、上傳/下載檔案以及執行惡意命令。
• 未偵測到的 NetSupport RAT 可能導致勒索軟體、資料外洩和業務中斷等進階威脅。

ClickFix 初始存取向量 - Initial Access Vector(IAV)

• TRU 觀察到涉及「ClickFix」IAV 的 NetSupport RAT 使用量激增。
• ClickFix 涉及透過社會工程(socially engineering)讓使用者複製並執行攻擊者提供的 PowerShell 命令。

NetSupport RAT 詳細資訊

• NetSupport RAT 最初是一種名為 NetSupport Manager 的遠端 IT 支援工具，開發於 1989 年，但已被網路犯罪分子利用。
• 攻擊者利用虛假的瀏覽器更新活動來傳播 NetSupport RAT。
• 一旦安裝，它允許即時螢幕監控、完全控制、螢幕截圖、音訊/視訊錄製和大量檔案傳輸，從而實現資料外洩和其他惡意軟體部署。
• 在觀察到的事件中，NetSupport RAT Payload通常寄宿(Hosted)在含有「.png」的 URL 上。執行時，PowerShell 指令會下載 NetSupport RAT 用戶端 (client32.exe) 及其 設定檔 (client32.ini) 以建立指令與控制 (C2) 連線。

eSentire 對此採取的措施

• eSentire MDR 偵測網路和端點上的 NetSupport RAT 活動。
• 威脅應變部門正積極搜尋威脅指標 (IOC)。
• 透過 eSentire 全球封鎖清單(Global Block List)封鎖來自真實攻擊的 IP 位址，並將 IOC 新增至 eSentire 威脅情報來源。
• 戰術威脅反應 (TTR) 團隊已經在 eSentire MDR for Network 中開發了針對 Clickfix IAV 的偵測。
• 威脅情報團隊正在積極追蹤該主題以獲取新的細節和偵測方法。

建議

• 在所有公司資產上部署 端點偵測和回應 (EDR) 代理程式。
• 為使用者提供安全意識培訓，包括有關 ClickFix 等新興技術的資訊。
• 限制使用者權限，以防止未經授權的軟體安裝。
• 為使用者提供可信賴的來源下載經批准的軟體。
• 為了防止 ClickFix，請考慮透過 群組原則物件 (GPO) 或 Windows Defender 應用程式控制 (WDAC) 停用執行提示、WScript.exe 和 Mshta.exe。

總結

總之，eSentire 威脅應變部門 (TRU) 發現 NetSupport RAT 感染有所增加，通常透過一種名為 ClickFix 的社會工程技術傳播。該 RAT 使攻擊者能夠對受害者的電腦進行相當大的控制，可能會導致勒索軟體攻擊和資料外洩等嚴重後果。為了應對這種威脅，eSentire 建議部署 EDR 解決方案、向使用者介紹 ClickFix、限制軟體安裝權限以及停用 ClickFix 利用的某些 Windows 功能。本文提供了具體的攻擊指標 (IOC) 來幫助組織偵測和阻止這些攻擊。 eSentire 的 MDR 服務主動偵測並封鎖 NetSupport RAT 和 ClickFix。

參考資料