NetSupport RAT

מגזרי החינוך, הממשלה והשירותים העסקיים מותקפים על ידי גורמי איומים המשתמשים בטרויאני גישה מרחוק המכונה NetSupport RAT. התוכנה המאיימת הזו מסופקת באמצעות עדכונים מטעים, הורדות במעבר, שימוש במעמיסי תוכנות זדוניות כמו GHOSTPULSE וסוגים שונים של מסעות פרסום דיוג. בטווח של שבועות ספורים בלבד, חוקרי אבטחת סייבר זיהו זיהומים רבים הקשורים ל-NetSupport RAT.

ה-NetSupport RAT התחיל ככלי לגיטימי

למרות ש-NetSupport Manager שימש בתחילה ככלי לגיטימי לניהול מרחוק שנועד לתמיכה טכנית, הוא זכה לשינוי מרושע על ידי גורמי איומים. הם מנצלים את הכלי כבסיס לביצוע התקפות עוקבות. ה-NetSupport RAT נפרס בדרך כלל על מחשבו של הקורבן באמצעות אתרי אינטרנט מטעים ועדכוני דפדפן הונאה.

בשנת 2022, חוקרי אבטחת סייבר גילו קמפיין תקיפה ממוקד הכולל אתרי וורדפרס שנפגעו. אתרים אלה שימשו כדי להציג דפי הגנה מזויפים של Cloudflare DDoS, מה שהוביל להפצת ה-NetSupport RAT.

כיצד NetSupport RAT מדביק התקנים ממוקדים?

פריסת עדכוני דפדפן אינטרנט מזויפים היא אסטרטגיה מקושרת בדרך כלל לשימוש בתוכנה זדונית להורדה מבוסס JavaScript בשם SocGholish (הידועה גם בשם FakeUpdates). וריאנט תוכנה זדונית זו נצפתה גם מפיצה תוכנת זדונית מטעין שזוהתה כ- BLISTER .

לאחר מכן, עומס ה-JavaScript מפעיל את PowerShell ליצור חיבור עם שרת מרוחק, ומביא קובץ ארכיון ZIP המכיל את NetSupport RAT. עם ההתקנה, RAT זה מתחיל לתקשר עם שרת Command-and-Control (C2, C&C).

לאחר הקמה מלאה על מכשירו של הקורבן, ה-NetSupport משיג את היכולת לנטר פעילויות, להעביר קבצים, לתפעל תצורות מחשב ולעבור לרוחב להתקנים אחרים בתוך הרשת.

RATs (סוסים טרויאניים בגישה מרחוק) הם בין האיומים המזיקים ביותר של תוכנות זדוניות

RATs נחשבים בין האיומים המזיקים ביותר של תוכנות זדוניות בשל יכולתם לספק גישה ושליטה בלתי מורשית על המחשב או הרשת של הקורבן. להלן מספר סיבות מדוע RATs מהווים סיכונים משמעותיים:

• גישה ובקרה בלתי מורשית : RATs מאפשרים לתוקפים להשיג שליטה מלאה על מערכת ממוקדת מרחוק. רמת גישה זו מאפשרת להם לבצע פעילויות זדוניות שונות ללא ידיעת המשתמש או הסכמתו.
• הפעלה חמקנית : RATs מתוכננים לפעול באופן סמוי, ולעיתים קרובות מתחמקים מגילוי באמצעי אבטחה מסורתיים. האופי החמקן שלהם מאפשר להם להישאר ללא זיהוי לתקופות ממושכות, מה שנותן לתוקפים מספיק זמן לבצע את המטרות הזדוניות שלהם.
• גניבת נתונים וריגול : ניתן להשתמש ב-RATs כדי לאסוף מידע רגיש, כגון נתונים אישיים, אישורי כניסה, מידע פיננסי וקניין רוחני. ניתן לנצל את הנתונים שנאספו למטרות רווח כספי, ריגול תאגידי או התקפות סייבר נוספות.
• מעקב וניטור : RATs מאפשרים מעקב בזמן אמת אחר פעילותו של הקורבן. תוקפים יכולים לנטר הקשות, לצלם צילומי מסך, לגשת לקבצים, ואפילו להפעיל מצלמות אינטרנט ומיקרופונים, מה שמוביל לפגיעה חמורה בפרטיות.
• התמדה : RATs מתוכננים לעתים קרובות לשמור על התמדה במערכות נגועות, ולהבטיח שהם ממשיכים לפעול גם לאחר אתחול מחדש או סריקות תוכנות אבטחה. החוסן הזה הופך אותם למאתגרים להסירם לחלוטין.
• התפשטות ותנועה לרוחב : ברגע שמערכת נפגעת, RATs יכולים להקל על תנועה רוחבית על פני רשת, ולהדביק מכשירים מרובים. יכולת זו מאפשרת לתוקפים להרחיב את השליטה שלהם ועלול לגרום לנזק נרחב.
• הקלה על התקפות נוספות : RATs יכולים לשמש שער לסוגים אחרים של תוכנות זדוניות או איומים מתמשכים מתקדמים (APTs). תוקפים עשויים להשתמש במערכת שנפרצה כנקודת שיגור להתקפות נוספות, מה שהופך את הפרצה הראשונית לנקודה קריטית של פגיעות.
• שימוש בהתקפות ממוקדות : RAT מועסקים לעתים קרובות בהתקפות ממוקדות נגד אנשים, ארגונים או תעשיות ספציפיות. ההתאמה האישית וההסתגלות שלהם הופכות אותם לכלים בעלי ערך עבור פושעי סייבר עם יעדים ספציפיים.

בסך הכל, השילוב של התגנבות, התמדה ומגוון רחב של יכולות הקשורות ל-RAT הופך אותם למסוכנים במיוחד ולדאגה משמעותית עבור אנשי מקצוע וארגוני אבטחת סייבר. מניעה, איתור והפחתת ההשפעה של זיהומי RAT דורשים אמצעי אבטחת סייבר חזקים וערנות מתמשכת.