Több licencből származó kedvezmények
Threat Database Remote Administration Tools NetSupport RAT

NetSupport RAT

Mezo -ra Remote Administration Tools-ben
Fordítás ide:
Magyar

Az oktatási, kormányzati és üzleti szolgáltatási szektort a NetSupport RAT néven ismert távoli hozzáférésű trójai segítségével fenyegető szereplők támadják. Ezt a fenyegető szoftvert megtévesztő frissítések, gyors letöltések, rosszindulatú programbetöltők (például GHOSTPULSE) és különféle típusú adathalász kampányok révén szállítják. Néhány hét leforgása alatt a kiberbiztonsági kutatók számos, a NetSupport RAT-tal kapcsolatos fertőzést azonosítottak.

A NetSupport RAT legitim eszközként indult

Bár a NetSupport Manager eredetileg legális távoli adminisztrációs eszközként szolgált, amelyet technikai támogatásra terveztek, a fenyegetés szereplői gonoszul újrahasznosították. Az eszközt támaszpontként használják fel a későbbi támadásokhoz. A NetSupport RAT rendszerint megtévesztő webhelyek és csalárd böngészőfrissítések révén kerül telepítésre az áldozat számítógépén.

2022-ben a kiberbiztonsági kutatók egy célzott támadási kampányt fedeztek fel, amely feltört WordPress-webhelyeket érintett. Ezeket a webhelyeket a hamis Cloudflare DDoS védelmi oldalak bemutatására használták, ami a NetSupport RAT terjesztéséhez vezetett.

Hogyan fertőzi meg a NetSupport RAT a célzott eszközöket?

A hamisított webböngésző-frissítések telepítése egy olyan stratégia, amely általában a SocGholish nevű JavaScript-alapú letöltő kártevő (más néven FakeUpdates) használatához kapcsolódik. Ezt a rosszindulatú programváltozatot a BLISTER néven azonosított betöltő rosszindulatú program terjesztésében is megfigyelték.

A JavaScript hasznos adata ezután elindítja a PowerShellt, hogy kapcsolatot létesítsen egy távoli kiszolgálóval, és beolvassa a NetSupport RAT-ot tartalmazó ZIP archív fájlt. A telepítés után ez a RAT kommunikálni kezd egy Command-and-Control (C2, C&C) szerverrel.

Miután teljesen beépült az áldozat eszközére, a NetSupport képes lesz megfigyelni a tevékenységeket, átvinni a fájlokat, módosítani a számítógép konfigurációit, és oldalirányban áthelyezni a hálózaton belüli más eszközökre.

A RAT-ok (Remote Access Trojans) a legártalmasabb rosszindulatú programok közé tartoznak

A RAT-okat a legkártékonyabb kártevő-fenyegetések között tartják számon, mivel képesek jogosulatlan hozzáférést és ellenőrzést biztosítani az áldozat számítógépéhez vagy hálózatához. Íme néhány ok, amiért a RAT-ok jelentős kockázatot jelentenek:

  • Jogosulatlan hozzáférés és ellenőrzés : A RAT-ok lehetővé teszik a támadók számára, hogy távolról teljes irányítást szerezzenek a célzott rendszer felett. Ez a hozzáférési szint lehetővé teszi számukra, hogy különféle rosszindulatú tevékenységeket hajtsanak végre a felhasználó tudta vagy beleegyezése nélkül.
  • Lopakodó működés : A RAT-okat úgy tervezték, hogy rejtetten működjenek, gyakran elkerülve a hagyományos biztonsági intézkedésekkel történő észlelést. Lopakodó természetük lehetővé teszi számukra, hogy huzamosabb ideig észrevétlenül maradjanak, így a támadóknak elegendő idejük van rosszindulatú céljaik végrehajtására.
  • Adatlopás és kémkedés : A RAT-ok érzékeny információk, például személyes adatok, bejelentkezési adatok, pénzügyi információk és szellemi tulajdon gyűjtésére használhatók. Ezek az összegyűjtött adatok felhasználhatók pénzügyi haszonszerzésre, vállalati kémkedésre vagy további kibertámadásokra.
  • Felügyelet és megfigyelés : A RAT-ok lehetővé teszik az áldozat tevékenységeinek valós idejű megfigyelését. A támadók nyomon követhetik a billentyűleütéseket, képernyőképeket készíthetnek, elérhetik a fájlokat, sőt webkamerákat és mikrofonokat is aktiválhatnak, ami súlyosan megsérti a magánéletet.
  • Perzisztencia : A RAT-okat gyakran úgy tervezték, hogy fenntartsák a perzisztenciát a fertőzött rendszereken, biztosítva, hogy továbbra is működjenek az újraindítás vagy a biztonsági szoftverek ellenőrzése után is. Ez a rugalmasság megnehezíti a teljes eltávolításukat.
  • Terjedés és oldalirányú mozgás : Ha egy rendszer kompromittált, a RAT-ok megkönnyíthetik a hálózaton keresztüli oldalirányú mozgást, több eszközt megfertőzve. Ez a képesség lehetővé teszi a támadók számára, hogy kiterjesszék az irányítást, és széles körben elterjedt károkat okozhatnak.
  • További támadások elősegítése : A RAT-ok átjáróként szolgálhatnak más típusú rosszindulatú programok vagy fejlett tartós fenyegetések (APT) számára. A támadók a feltört rendszert további támadások indítópontjaként használhatják, így a kezdeti incidens a sebezhetőség kritikus pontjává válik.
  • Felhasználás célzott támadásoknál : A RAT-okat gyakran alkalmazzák meghatározott személyek, szervezetek vagy iparágak elleni célzott támadások során. Testreszabhatóságuk és alkalmazkodóképességük értékes eszközzé teszi őket a konkrét célokat kitűző kiberbűnözők számára.

Összességében a lopakodás, a kitartás és a RAT-okhoz kapcsolódó képességek széles skálája kombinációja különösen veszélyessé és komoly aggodalomra ad okot a kiberbiztonsági szakemberek és szervezetek számára. A RAT-fertőzések megelőzése, észlelése és hatásainak mérséklése határozott kiberbiztonsági intézkedéseket és folyamatos éberséget igényel.

Felkapott

Legnézettebb

Betöltés...