NetSupport RAT

Sektory edukacji, rządu i usług biznesowych są atakowane przez ugrupowania zagrażające wykorzystujące trojana zdalnego dostępu znanego jako NetSupport RAT. To groźne oprogramowanie jest dostarczane poprzez zwodnicze aktualizacje, pobieranie dyskowe, wykorzystanie programów ładujących złośliwe oprogramowanie, takich jak GHOSTPULSE, oraz różne typy kampanii phishingowych. W ciągu zaledwie kilku tygodni badacze cyberbezpieczeństwa zidentyfikowali liczne infekcje powiązane z NetSupport RAT.

NetSupport RAT powstał jako legalne narzędzie

Chociaż NetSupport Manager początkowo służył jako legalne narzędzie do zdalnej administracji przeznaczone do pomocy technicznej, ugrupowania zagrażające brutalnie zmieniły jego przeznaczenie. Wykorzystują to narzędzie jako przyczółek do przeprowadzania kolejnych ataków. NetSupport RAT jest powszechnie instalowany na komputerze ofiary poprzez zwodnicze strony internetowe i fałszywe aktualizacje przeglądarki.

W 2022 roku badacze cyberbezpieczeństwa odkryli kampanię ukierunkowanych ataków obejmującą zainfekowane witryny WordPress. Witryny te zostały wykorzystane do zaprezentowania fałszywych stron ochrony Cloudflare DDoS, co doprowadziło do rozpowszechnienia NetSupport RAT.

W jaki sposób NetSupport RAT infekuje docelowe urządzenia?

Wdrażanie fałszywych aktualizacji przeglądarki internetowej to strategia powszechnie powiązana z wykorzystaniem opartego na języku JavaScript szkodliwego oprogramowania pobierającego o nazwie SocGholish (znanego również jako FakeUpdates). Zaobserwowano również, że ten wariant złośliwego oprogramowania rozpowszechniał złośliwe oprogramowanie modułu ładującego zidentyfikowane jako BLISTER .

Następnie ładunek JavaScript uruchamia program PowerShell w celu nawiązania połączenia ze zdalnym serwerem i pobrania pliku archiwum ZIP zawierającego plik NetSupport RAT. Po instalacji ten RAT zaczyna komunikować się z serwerem dowodzenia i kontroli (C2, C&C).

Po całkowitym zainstalowaniu się na urządzeniu ofiary NetSupport zyskuje możliwość monitorowania działań, przesyłania plików, manipulowania konfiguracjami komputera i przenoszenia się do innych urządzeń w sieci.

RAT (trojany zdalnego dostępu) należą do najbardziej szkodliwych zagrożeń złośliwym oprogramowaniem

RAT są uważane za jedno z najbardziej szkodliwych zagrożeń złośliwym oprogramowaniem ze względu na ich zdolność do zapewniania nieautoryzowanego dostępu i kontroli nad komputerem lub siecią ofiary. Oto kilka powodów, dla których RAT stwarzają znaczne ryzyko:

• Nieautoryzowany dostęp i kontrola : RAT umożliwiają atakującym zdalne uzyskanie pełnej kontroli nad docelowym systemem. Ten poziom dostępu umożliwia im wykonywanie różnych szkodliwych działań bez wiedzy i zgody użytkownika.
• Ukryte działanie : RAT są zaprojektowane do działania w ukryciu, często unikając wykrycia przez tradycyjne środki bezpieczeństwa. Ich ukryty charakter pozwala im pozostać niewykrytymi przez dłuższy czas, dając atakującym wystarczająco dużo czasu na realizację swoich złośliwych celów.
• Kradzież danych i szpiegostwo : RAT mogą być wykorzystywane do gromadzenia poufnych informacji, takich jak dane osobowe, dane logowania, informacje finansowe i własność intelektualna. Zebrane dane można wykorzystać do celów finansowych, szpiegostwa korporacyjnego lub dalszych cyberataków.
• Nadzór i monitorowanie : RAT umożliwiają monitorowanie działań ofiary w czasie rzeczywistym. Atakujący mogą monitorować naciśnięcia klawiszy, robić zrzuty ekranu, uzyskiwać dostęp do plików, a nawet aktywować kamery internetowe i mikrofony, co prowadzi do poważnego naruszenia prywatności.
• Trwałość : programy RAT są często zaprojektowane tak, aby utrzymywać trwałość zainfekowanych systemów, zapewniając ich dalsze działanie nawet po ponownym uruchomieniu lub skanowaniu oprogramowania zabezpieczającego. Ta odporność sprawia, że ich całkowite usunięcie jest trudne.
• Propagacja i ruch boczny : po włamaniu do systemu RAT mogą ułatwić boczny ruch w sieci, infekując wiele urządzeń. Ta funkcja pozwala atakującym rozszerzyć kontrolę i potencjalnie spowodować rozległe szkody.
• Ułatwianie dodatkowych ataków : RAT mogą służyć jako brama dla innych typów złośliwego oprogramowania lub zaawansowanych trwałych zagrożeń (APT). Osoby atakujące mogą wykorzystać zaatakowany system jako punkt wyjścia do dalszych ataków, co sprawia, że początkowe naruszenie staje się krytycznym punktem podatności.
• Zastosowanie w atakach ukierunkowanych : RAT są często wykorzystywane w atakach ukierunkowanych na określone osoby, organizacje lub branże. Ich dostosowywanie i możliwości adaptacji czynią je cennymi narzędziami dla cyberprzestępców realizujących określone cele.

Ogólnie rzecz biorąc, połączenie ukrywania się, trwałości i szerokiego zakresu możliwości związanych z RAT sprawia, że są one szczególnie niebezpieczne i stanowią poważny problem dla specjalistów i organizacji zajmujących się cyberbezpieczeństwem. Zapobieganie, wykrywanie i łagodzenie skutków infekcji RAT wymaga solidnych środków cyberbezpieczeństwa i ciągłej czujności.