Исследователи обнаружили кампанию JS#SMUGGLER, в которой эксплуатируются уязвимости в легитимных веб-сайтах для распространения опасного трояна удалённого доступа (RAT) NetSupport. Злоумышленники компрометируют доверенные ресурсы, превращая их в платформы для незаметной загрузки вредоносного ПО на компьютеры пользователей.
Как подчёркивает Александр Михайлов, руководитель GSOC компании «Газинформсервис», особенность этой вредоносной кампании заключается в том, что код внедряется непосредственно в скомпрометированные легитимные сайты. Для развития атаки используются легитимные инструменты операционной системы, что делает обнаружение угрозы крайне сложным для обычных пользователей.
«Атаки с использованием штатных инструментов системы, так называемые атаки Living off the Land, представляют особенную сложность для выявления. Из всей цепочки действий ярким признаком того, что что-то пошло не так, является только активность утилиты NetSupport RAT, но при должной подготовке злоумышленника она может выпасть из поля зрения защитников», — объясняет эксперт.
Александр Михайлов отмечает, что именно обнаружению подобных инцидентов, где задействованы легитимные инструменты операционных систем, посвящена существенная часть работы коммерческих SOC-центров. «Это как разработка сценариев выявления таких атак, так и аналитическая работа по отделению легитимных зёрн от злонамеренных плевел. Часто такой уровень экспертизы недоступен службам информационной безопасности и даже внутренним SOC, если они есть», — добавляет он.
Для компаний, которые остаются один на один с подобными угрозами без помощи внешних SOC-центров, руководитель GSOC предлагает следующее:
1. Ограничить использование системных утилит вроде mshta.exe, wscript.exe и powershell.exe, если они не нужны сотруднику для работы, или поставить на мониторинг их запуск.
2. Отслеживать не файлы, а процессы. Запуск PowerShell из-под процесса браузера или mshta — это всегда аномалия, которая должна быть проанализирована.
3. Владельцам сайтов необходимо внедрять строгие политики Content Security Policy, чтобы запретить подгрузку скриптов с неавторизованных внешних доменов.