NetSupport RAT

Секторы образования, государственного управления и бизнес-услуг подвергаются атакам со стороны злоумышленников, использующих трояна удаленного доступа, известного как NetSupport RAT. Это угрожающее программное обеспечение распространяется посредством мошеннических обновлений, попутных загрузок, использования загрузчиков вредоносных программ, таких как GHOSTPULSE, и различных типов фишинговых кампаний. Всего за несколько недель исследователи кибербезопасности выявили многочисленные заражения, связанные с NetSupport RAT.

NetSupport RAT начинался как законный инструмент

Хотя изначально NetSupport Manager служил законным инструментом удаленного администрирования, предназначенным для технической поддержки, злоумышленники злонамеренно перепрофилировали его. Они используют этот инструмент как плацдарм для проведения последующих атак. NetSupport RAT обычно устанавливается на компьютер жертвы через мошеннические веб-сайты и мошеннические обновления браузера.

В 2022 году исследователи кибербезопасности обнаружили кампанию целенаправленных атак с участием скомпрометированных сайтов WordPress. Эти сайты использовались для демонстрации поддельных страниц защиты от DDoS-атак Cloudflare, что привело к распространению NetSupport RAT.

Как NetSupport RAT заражает целевые устройства?

Развертывание поддельных обновлений веб-браузера — это стратегия, обычно связанная с использованием вредоносного ПО-загрузчика на основе JavaScript под названием SocGholish (также известного как FakeUpdates). Также было замечено, что этот вариант вредоносного ПО распространяет вредоносное ПО-загрузчик, идентифицированное как BLISTER .

Затем полезная нагрузка JavaScript запускает PowerShell для установления соединения с удаленным сервером, получая ZIP-архивный файл, содержащий NetSupport RAT. После установки этот RAT начинает взаимодействовать с сервером управления и контроля (C2, C&C).

После полной установки на устройство жертвы NetSupport получает возможность отслеживать действия, передавать файлы, манипулировать конфигурациями компьютера и перемещаться на другие устройства в сети.

RAT (трояны удаленного доступа) являются одними из самых вредоносных вредоносных угроз

RAT считаются одними из наиболее разрушительных угроз вредоносного ПО из-за их способности обеспечивать несанкционированный доступ и контроль над компьютером или сетью жертвы. Вот несколько причин, по которым RAT представляют значительный риск:

• Несанкционированный доступ и контроль : RAT позволяют злоумышленникам удаленно получить полный контроль над целевой системой. Этот уровень доступа позволяет им выполнять различные вредоносные действия без ведома или согласия пользователя.
• Скрытность : RAT созданы для скрытной работы, часто избегая обнаружения традиционными мерами безопасности. Их скрытный характер позволяет им оставаться незамеченными в течение длительного времени, давая злоумышленникам достаточно времени для достижения своих вредоносных целей.
• Кража данных и шпионаж : RAT могут использоваться для сбора конфиденциальной информации, такой как личные данные, учетные данные для входа, финансовая информация и интеллектуальная собственность. Эти собранные данные могут быть использованы для получения финансовой выгоды, корпоративного шпионажа или дальнейших кибератак.
• Наблюдение и мониторинг : RAT позволяют наблюдать за действиями жертвы в режиме реального времени. Злоумышленники могут отслеживать нажатия клавиш, делать снимки экрана, получать доступ к файлам и даже активировать веб-камеры и микрофоны, что приводит к серьезному вторжению в частную жизнь.
• Персистентность : RAT часто предназначены для поддержания устойчивости зараженных систем, гарантируя, что они продолжат работать даже после перезагрузки или сканирования программного обеспечения безопасности. Эта устойчивость затрудняет их полное удаление.
• Распространение и горизонтальное перемещение : как только система скомпрометирована, RAT могут способствовать горизонтальному перемещению по сети, заражая несколько устройств. Эта возможность позволяет злоумышленникам расширить свой контроль и потенциально нанести масштабный ущерб.
• Содействие дополнительным атакам : RAT могут служить шлюзом для других типов вредоносных программ или сложных постоянных угроз (APT). Злоумышленники могут использовать скомпрометированную систему в качестве отправной точки для дальнейших атак, что делает первоначальное нарушение критической точкой уязвимости.
• Использование в целевых атаках . RAT часто используются в целевых атаках на конкретных лиц, организации или отрасли. Их индивидуализация и адаптируемость делают их ценными инструментами для киберпреступников с конкретными целями.

В целом сочетание скрытности, устойчивости и широкого спектра возможностей, связанных с RAT, делает их особенно опасными и вызывает серьезную озабоченность у специалистов и организаций в области кибербезопасности. Предотвращение, обнаружение и смягчение последствий заражения RAT требуют надежных мер кибербезопасности и постоянной бдительности.