Складні багаторівневі кампанії, що маскуються під легітимний веб‑трафік, стають одним із ключових викликів для корпоративної кібербезпеки. Дослідники Securonix описали саме таку операцію під назвою JS#SMUGGLER, у межах якої зловмисники зламують довірені сайти та використовують їх як інфраструктуру для прихованого розгортання віддаленого адміністративного трояна NetSupport RAT.
Схема атаки JS#SMUGGLER: JavaScript, HTA та PowerShell як «матрьошка»
Ланцюжок компрометації в JS#SMUGGLER побудований каскадно та складається з трьох ключових компонентів: сильно обфусцьованого JavaScript‑завантажувача, HTA‑файла, що стартує через mshta.exe, та фінального PowerShell‑пейлоада, який у пам’яті системи встановлює NetSupport RAT. Така «багатоступенева матрьошка» знижує ефективність сигнатурних засобів захисту, що орієнтовані на окремі файли або прості правила детектування.
NetSupport RAT спочатку створювався як легітимний інструмент віддаленого адміністрування, але активно зловживається зловмисниками. Після успішної інфекції атакувальний отримує повний контроль над хостом: віддалений робочий стіл, керування файлами, виконання команд, екфільтрацію даних і можливість використовувати скомпрометовану машину як проксі‑вузол для подальших операцій.
Початковий етап: прихований JavaScript‑інжект та профілювання пристрою
Атака стартує з невидимого редиректу, вбудованого в код зламаного сайту. Він підвантажує зовнішній скрипт phone.js з окремого домену та в фоновому режимі перенаправляє користувача, не змінюючи помітно поведінку сторінки.
Скрипт phone.js щільно обфусцьований і насамперед виконує профілювання пристрою: визначає, чи це мобільний клієнт, чи настільна система. Для мобільних відвідувачів відображається повноекранний iframe, тоді як для десктопів запускається другий етап інфекції зі шкідливим завантажувачем.
Ключова особливість JS#SMUGGLER — використання одноразового невидимого iframe: перенаправлення виконується лише за першого візиту за конкретним ідентифікатором. Це суттєво ускладнює виявлення – при повторній перевірці того самого URL аналітики та автоматизовані сканери можуть не побачити жодної аномальної активності.
Другий етап: HTA, mshta.exe та PowerShell‑стейджери
JavaScript‑завантажувач динамічно конструює URL для отримання HTA‑пейлоада і виконує його через штатну утиліту Windows mshta.exe. Формат HTA дозволяє запускати HTML/JavaScript як повноцінний застосунок, що традиційно активно використовується в атаках типу Living off the Land, коли задіюються легітимні компоненти ОС.
Отриманий HTA‑файл виступає ще одним завантажувачем: він розгортає тимчасовий PowerShell‑стейджер, записує його на диск, розшифровує та виконує безпосередньо в оперативній пам’яті. Інтерфейс HTA максимально приховується — вікно без стандартних елементів, часто згорнуте або невидиме, що мінімізує шанс, що користувач помітить аномалію.
Розшифрований PowerShell‑пейлоад відповідає за завантаження та установку NetSupport RAT і забезпечення стійкої присутності атакувального в системі. Виконання в пам’яті (in‑memory execution) дозволяє залишати мінімум артефактів на диску й обходити антивіруси, зосереджені на файловому аналізі.
Імовірний зв’язок із групою SmartApeSG
Домен‑джерело JavaScript‑завантажувача, boriver[.]com, позначений платформою Abuse.ch як пов’язаний із кіберзлочинною групою SmartApeSG (також відомою як HANEYMANEY та ZPHP). За відкритими даними, ця акторська група з кінця 2024 року активно використовує JavaScript‑інжекти на легітимних ресурсах для розповсюдження NetSupport RAT.
Водночас Securonix поки утримується від прямої атрибуції JS#SMUGGLER саме SmartApeSG, припускаючи, що інший актор міг запозичити або розділити частину інфраструктури та тактик. Чіткої географічної прив’язки кампанії наразі також не встановлено.
Ризики для бізнесу та практичні заходи захисту
JS#SMUGGLER особливо небезпечна для корпоративних користувачів, оскільки як точка входу використовуються звичні, раніше безпечні сайти партнерів, постачальників чи галузевих ресурсів. У такій моделі стандартна рекомендація «не переходити за підозрілими посиланнями» втрачає ефективність: користувач взаємодіє з формально довіреним доменом.
Рекомендовані технічні та організаційні контрзаходи
1. Посилені політики Content Security Policy (CSP). Обмеження доменів для завантаження скриптів та iframe допомагає заблокувати сторонні JavaScript‑ресурси й HTA‑пейлоади, навіть якщо сайт було скомпрометовано.
2. Моніторинг і аудит PowerShell. Включення розширеного логування, застосування Constrained Language Mode та політик, що блокують невідомі скрипти, ускладнюють запуск стейджерів і дають можливість своєчасно виявити підозрілу активність.
3. Обмеження використання mshta.exe та HTA. У більшості організацій HTA‑додатки не є критично необхідними. Блокування mshta.exe через AppLocker, WDAC чи подібні засоби суттєво зменшує поверхню атаки.
4. EDR/XDR та поведінковий аналіз. Сучасні рішення виявлення та реагування мають корелювати ланцюжки типу «браузер → mshta.exe → PowerShell» та нетипові вихідні з’єднання до маловідомих доменів, що дає змогу вчасно зупинити розгортання RAT‑інструментів.
З огляду на зростання кількості кампаній із використанням NetSupport RAT та інших легітимних утиліт віддаленого доступу, бізнесу необхідно регулярно переглядати політики безпеки, оновлювати засоби захисту, сегментувати мережу та системно навчати співробітників безпечній роботі з веб‑ресурсами. Поєднання технічних контролів, проактивного моніторингу та підготовленості до інцидентів значно знижує потенційний вплив складних атак на кшталт JS#SMUGGLER.
