netsupportrat - RunkIntel

# NetSupportRAT > [!high] Ferramenta legítima de administração remota NetSupport Manager repropositada maliciosamente por múltiplos grupos de ameaça para acesso remoto não autorizado, vigilância e como foothold para ataques de ransomware, distribuída principalmente via falsos updates de navegador e campanhas ClickFix. ## Descrição NetSupportRAT é o uso malicioso da ferramenta legítima de administração remota **NetSupport Manager**, um software comercial de suporte técnico amplamente utilizado por equipes de TI. Atores de ameaça abusam de suas funcionalidades legítimas para estabelecer acesso remoto não autorizado a sistemas comprometidos, realizando vigilância, exfiltração de dados e servindo como plataforma de lançamento para ataques subsequentes, incluindo o deploy de ransomware. A distinção do NetSupportRAT de malware customizado está no uso de binários legítimos assinados, o que complica a detecção por soluções de segurança baseadas em reputação ou assinatura. Os arquivos principais implantados incluem `client32.exe` (cliente principal), `client32.ini` (configuração do C2 com endereços do servidor), `NSM.lic` (válidação de licença) e DLLs como `HTCTL32.DLL`, `PCICL32.DLL` e `msvcr100.dll`, frequentemente instalados em caminhos não padrão como AppData, ProgramData ou Downloads para evitar detecção por monitoramento de paths conhecidos. A distribuição opera via múltiplos vetores: falsos updates de navegador (técnica "SocGholish"), páginas ClickFix que induzem usuários a executar comandos PowerShell ou Run Window, phishing via e-mails com PDFs ou arquivos LNK, malvertising e sites comprometidos com drive-by downloads. JavaScript e PowerShell obfuscados são usados para instalação furtiva com capacidade de evasão de VM e auto-remoção. Grupos como TA569 e Mustard Tempest (G1020) são documentados como operadores principais do NetSupportRAT, frequentemente como precursor do deploy de ransomware Danabot ou Cobalt Strike. As capacidades do NetSupportRAT incluem controle total do desktop remoto, captura de tela/áudio/vídeo, gerenciamento de arquivos (upload/download/execução), execução de comandos do sistema (desligar/reiniciar), e bloqueio de teclado/mouse. Persistência é estabelecida via chaves de registro `HKCU\Software\Microsoft\Windows\CurrentVersion\Run`, atalhos `.url` na pasta Startup e tarefas agendadas. O RAT frequentemente serve como precursor para movimento lateral via Impacket e credential dumping via ProcDump. ## Técnicas Utilizadas - [[t1566-phishing|T1566 - Phishing]] - distribuição via e-mails maliciosos e sites de phishing - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - infecção via sites comprometidos com falsos updates de navegador - [[t1059-001-powershell|T1059.001 - PowerShell]] - execução de scripts PowerShell obfuscados para instalação - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - execução de arquivo malicioso pelo usuário (ClickFix/falso update) - [[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys]] - persistência via `HKCU\...\CurrentVersion\Run` - [[t1053-scheduled-task|T1053 - Scheduled Task/Job]] - persistência adicional via tarefas agendadas - [[t1219-remote-access-software|T1219 - Remote Access Software]] - uso de software legítimo de acesso remoto para controle - [[t1113-screen-capture|T1113 - Screen Capture]] - captura de tela para vigilância do usuário comprometido - [[t1003-credential-dumping|T1003 - OS Credential Dumping]] - extração de credenciais via ProcDump em ataques avançados - [[t1021-remote-services|T1021 - Remote Services]] - movimento lateral via Impacket após comprometimento ## Grupos que Usam - [[g1020-mustard-tempest|Mustard Tempest]] (G1020) - grupo que usa NetSupportRAT como ferramenta principal de acesso inicial - [[ta569|TA569]] - grupo documentado usando NetSupportRAT em campanhas de atualização falsa de navegador - BatLoader - loader que distribui NetSupportRAT como payload ## Detecção **Indicadores de arquivo e processo:** Monitorar arquivos `client32.exe`, `client32.ini` e `NSM.lic` em caminhos não padrão (AppData, ProgramData, Downloads, Temp). A Microsoft detecta a variante maliciosa como `Trojan:Win32/NetSupportRat!MTB`. Alertar para criação de arquivos `.url` na pasta Startup apontando para diretórios incomuns. **Indicadores comportamentais de distribuição:** Detectar scripts JavaScript obfuscados baixados por navegadores que subsequentemente chamam PowerShell ou cmd.exe - padrão característico das campanhas de falso update (SocGholish). Regras Sysmon para execução de JavaScript via wscript.exe seguida de criação de processos em AppData são altamente indicativas. **Comúnicação C2:** NetSupportRAT usa HTTP/HTTPS com ofuscação e protocolo customizado para se misturar ao tráfego legítimo. Monitorar conexões persistentes (keep-alive) a endereços IP incomuns a partir de `client32.exe`. Ferramentas de NDR (Network Detection and Response) com análise de protocolo podem identificar o protocolo proprietário do NetSupport Manager mesmo sobre HTTPS. **Regras específicas por plataforma:** Carbon Black e EDRs com inteligência de ameaça atualizada detectam por IOCs e comportamento. Soluções como Picus permitem simular a cadeia de ataque do NetSupportRAT para válidar cobertura de detecção existente. ## Relevância LATAM/Brasil O NetSupportRAT não possui campanhas específicas documentadas para o Brasil ou LATAM, mas sua distribuição via malvertising e sites comprometidos afeta qualquer região onde os vetores de entrega são comuns. Campanhas baseadas em falsos updates de navegador (SocGholish) têm sido observadas em sites brasileiros comprometidos como vetor de distribuição. A combinação de acesso remoto completo com capacidade de desdobramento em ransomware torna o NetSupportRAT uma ameaça relevante para organizações dos setores [[government|governamental]], [[education|educação]] e [[financial|financeiro]] no Brasil, que frequentemente figuram como alvos dos grupos que operam este RAT. A facilidade de aquisição (ferramenta legítima) e a dificuldade de detecção (binários assinados) tornam-no especialmente atraente para grupos criminosos com recursos limitados. ## Referências - [MITRE ATT&CK - NetSupportRAT (S0598)](https://attack.mitre.org/software/S0598/) - [Picus Security - How NetSupport RAT Abuses Legitimate Remote Admin Tool](https://www.picussecurity.com/resource/blog/how-netsupport-rat-abuses-legitimate-remote-admin-tool) - [DarkTrace - NetSupport RAT Analysis](https://www.darktrace.com/blog/netsupport-rat-how-legitimate-tools-can-be-as-damaging-as-malware) - [ANY.RUN - NetSupport Malware Trends](https://any.run/malware-trends/netsupport/) - [SentinelOne - NetSupport RAT Pokemon Lures Campaign](https://www.sentinelone.com/blog/gotta-catch-em-all-understanding-the-netsupport-rat-campaigns-hiding-behind-pokemon-lures/) - [VMware Security - NetSupport RAT: The RAT King Returns](https://blogs.vmware.com/security/2023/11/netsupport-rat-the-rat-king-returns.html)