NetSupport RAT

Koulutus-, hallinto- ja yrityspalvelusektorit ovat uhkatoimijoiden hyökkäyksen kohteena käyttämällä etäkäyttötroijalaista, joka tunnetaan nimellä NetSupport RAT. Tämä uhkaava ohjelmisto toimitetaan harhaanjohtavien päivitysten, ohituslatausten, haittaohjelmien, kuten GHOSTPULSE:n, käytön ja erilaisten tietojenkalastelukampanjoiden kautta. Kyberturvallisuustutkijat ovat vain muutaman viikon aikana tunnistaneet lukuisia NetSupport RAT:iin liittyviä tartuntoja.

NetSupport RAT aloitettiin laillisena työkaluna

Vaikka NetSupport Manager toimi alun perin laillisena teknisen tuen etähallintatyökaluna, uhkatoimijat ovat käyttäneet sitä rajusti uudelleen. He käyttävät työkalua jalansijana myöhempien hyökkäysten tekemiseen. NetSupport RAT otetaan yleensä käyttöön uhrin tietokoneella petollisten verkkosivustojen ja vilpillisten selainpäivitysten kautta.

Vuonna 2022 kyberturvallisuustutkijat löysivät kohdistetun hyökkäyskampanjan, joka koski vaarantuneita WordPress-sivustoja. Näitä sivustoja käytettiin esittelemään väärennettyjä Cloudflare DDoS -suojaussivuja, mikä johti NetSupport RATin levittämiseen.

Miten NetSupport RAT saastuttaa kohdelaitteet?

Väärennettyjen verkkoselainpäivitysten käyttöönotto on strategia, joka liittyy yleisesti JavaScript-pohjaisen SocGholish- haittaohjelman (tunnetaan myös nimellä FakeUpdates) käyttöön. Tämän haittaohjelmaversion on myös havaittu levittävän lataushaittaohjelmaa, joka on tunnistettu nimellä BLISTER .

JavaScript-hyötykuorma käynnistää sitten PowerShellin muodostamaan yhteyden etäpalvelimeen ja hakemaan ZIP-arkistotiedoston, joka sisältää NetSupport RAT:n. Asennuksen jälkeen tämä RAT alkaa kommunikoida Command-and-Control (C2, C&C) -palvelimen kanssa.

Kun NetSupport on täysin vakiintunut uhrin laitteeseen, se voi seurata toimintoja, siirtää tiedostoja, muokata tietokoneen asetuksia ja siirtyä sivusuunnassa muihin verkon laitteisiin.

RAT (Remote Access Troijalaiset) ovat haitallisimpia haittaohjelmauhkia

RAT:ita pidetään haitallisimpana haittaohjelmauhkien joukossa, koska ne pystyvät tarjoamaan luvattoman pääsyn uhrin tietokoneeseen tai verkkoon ja hallitsemaan sitä. Tässä on useita syitä, miksi RAT:t aiheuttavat merkittäviä riskejä:

• Luvaton käyttö ja valvonta : RAT:iden avulla hyökkääjät voivat saada täydellisen etähallinnan kohteena olevaan järjestelmään. Tämä käyttöoikeustaso antaa heille mahdollisuuden suorittaa erilaisia haitallisia toimia ilman käyttäjän tietämättä tai suostumusta.
• Hiljainen toiminta : RAT:t on suunniteltu toimimaan piilossa, ja ne usein välttyvät havaitsemasta perinteisillä turvatoimilla. Niiden salaperäinen luonne mahdollistaa niiden pysymisen havaitsemattomina pitkiä aikoja, jolloin hyökkääjillä on runsaasti aikaa toteuttaa haitallisia tavoitteitaan.
• Tietovarkaukset ja vakoilu : RAT:ita voidaan käyttää keräämään arkaluonteisia tietoja, kuten henkilötietoja, kirjautumistietoja, taloudellisia tietoja ja immateriaalioikeuksia. Näitä kerättyjä tietoja voidaan hyödyntää taloudellisen hyödyn, yritysvakoilun tai muiden kyberhyökkäyksiä varten.
• Valvonta ja seuranta : RAT:t mahdollistavat uhrin toiminnan reaaliaikaisen valvonnan. Hyökkääjät voivat seurata näppäinpainalluksia, kaapata kuvakaappauksia, käyttää tiedostoja ja jopa aktivoida verkkokameroita ja mikrofoneja, mikä johtaa vakavaan yksityisyyden loukkaamiseen.
• Pysyvyys : RAT:t on usein suunniteltu säilyttämään pysyvyys tartunnan saaneissa järjestelmissä varmistaen, että ne jatkavat toimintaansa uudelleenkäynnistyksen tai tietoturvaohjelmiston tarkistuksen jälkeen. Tämä joustavuus tekee niistä haastavan poistaa kokonaan.
• Levitys ja sivuttaisliike : Kun järjestelmä on vaarantunut, RAT:t voivat helpottaa sivuttaisliikettä verkon yli ja saastuttaa useita laitteita. Tämän ominaisuuden avulla hyökkääjät voivat laajentaa hallintaansa ja mahdollisesti aiheuttaa laajaa vahinkoa.
• Lisähyökkäysten helpottaminen : RAT:t voivat toimia yhdyskäytävänä muun tyyppisille haittaohjelmille tai kehittyneille pysyville uhille (APT). Hyökkääjät voivat käyttää vaarantunutta järjestelmää uusien hyökkäyksien aloituspisteenä, mikä tekee alkuperäisestä tietomurrosta haavoittuvuuden kriittisen kohdan.
• Käyttö kohdistetuissa hyökkäyksissä : RAT:ia käytetään usein kohdistetuissa hyökkäyksissä tiettyjä henkilöitä, organisaatioita tai toimialoja vastaan. Niiden räätälöinti ja mukautumiskyky tekevät niistä arvokkaita työkaluja kyberrikollisille, joilla on tietyt tavoitteet.

Kaiken kaikkiaan varkain, sinnikkyys ja RAT:eihin liittyvien ominaisuuksien laaja valikoima tekee niistä erityisen vaarallisia ja merkittävän huolen kyberturvallisuuden ammattilaisille ja organisaatioille. RAT-tartuntojen ehkäiseminen, havaitseminen ja vaikutusten lieventäminen vaatii vankkoja kyberturvallisuustoimenpiteitä ja jatkuvaa valppautta.