NetSupport RAT

Izobraževalni, vladni in poslovni sektorji so pod napadom akterjev groženj, ki uporabljajo trojanca z oddaljenim dostopom, znanega kot NetSupport RAT. Ta grozeča programska oprema se zagotavlja z zavajajočimi posodobitvami, naključnimi prenosi, uporabo nalagalnikov zlonamerne programske opreme, kot je GHOSTPULSE, in različnih vrst lažnih kampanj. V le nekaj tednih so raziskovalci kibernetske varnosti odkrili številne okužbe, povezane z NetSupport RAT.

NetSupport RAT se je začel kot zakonito orodje

Čeprav je NetSupport Manager prvotno služil kot zakonito orodje za oddaljeno skrbništvo, zasnovano za tehnično podporo, so ga zlobno spremenili akterji groženj. Orodje izkoriščajo kot oporo za izvajanje naslednjih napadov. NetSupport RAT se običajno namesti v računalnik žrtve prek zavajajočih spletnih mest in goljufivih posodobitev brskalnika.

Leta 2022 so raziskovalci kibernetske varnosti odkrili ciljano napadalno kampanjo, ki vključuje ogrožena spletna mesta WordPress. Ta spletna mesta so bila uporabljena za predstavitev lažnih zaščitnih strani Cloudflare DDoS, kar je privedlo do širjenja NetSupport RAT.

Kako NetSupport RAT okuži ciljne naprave?

Uvajanje ponarejenih posodobitev spletnega brskalnika je strategija, ki je običajno povezana z uporabo zlonamerne programske opreme za prenos, ki temelji na JavaScriptu, imenovane SocGholish (znane tudi kot FakeUpdates). Opazili so tudi, da ta različica zlonamerne programske opreme razširja zlonamerno programsko opremo za nalaganje, označeno kot BLISTER .

Obremenitev JavaScripta nato sproži PowerShell, da vzpostavi povezavo z oddaljenim strežnikom in pridobi arhivsko datoteko ZIP, ki vsebuje NetSupport RAT. Po namestitvi ta RAT začne komunicirati s strežnikom za ukazovanje in nadzor (C2, C&C).

Ko je NetSupport v celoti nameščen na žrtvini napravi, pridobi zmožnost spremljanja dejavnosti, prenosa datotek, manipulacije računalniških konfiguracij in stranskega premikanja na druge naprave v omrežju.

RAT (trojanski konji za oddaljeni dostop) so med najbolj škodljivimi grožnjami zlonamerne programske opreme

RATs veljajo za najbolj škodljive grožnje zlonamerne programske opreme zaradi njihove zmožnosti zagotavljanja nepooblaščenega dostopa in nadzora nad računalnikom ali omrežjem žrtve. Tu je več razlogov, zakaj podgane predstavljajo velika tveganja:

• Nepooblaščen dostop in nadzor : RAT-ji omogočajo napadalcem, da pridobijo popoln nadzor nad ciljnim sistemom na daljavo. Ta raven dostopa jim omogoča izvajanje različnih zlonamernih dejavnosti brez vednosti ali privolitve uporabnika.
• Prikrito delovanje : podgane so zasnovane tako, da delujejo prikrito in se pogosto izognejo odkrivanju tradicionalnih varnostnih ukrepov. Njihova prikrita narava jim omogoča, da dalj časa ostanejo neodkriti, napadalcem pa daje dovolj časa, da izpolnijo svoje zlonamerne cilje.
• Kraja podatkov in vohunjenje : RATs se lahko uporabljajo za zbiranje občutljivih informacij, kot so osebni podatki, poverilnice za prijavo, finančne informacije in intelektualna lastnina. Te zbrane podatke je mogoče izkoristiti za finančne koristi, korporativno vohunjenje ali nadaljnje kibernetske napade.
• Nadzor in spremljanje : RATs omogočajo nadzor dejavnosti žrtve v realnem času. Napadalci lahko spremljajo pritiske na tipke, zajemajo posnetke zaslona, dostopajo do datotek in celo aktivirajo spletne kamere in mikrofone, kar povzroči resen vdor v zasebnost.
• Vztrajnost : RAT-ji so pogosto zasnovani tako, da ohranjajo obstojnost v okuženih sistemih in zagotavljajo, da še naprej delujejo tudi po ponovnem zagonu ali pregledu varnostne programske opreme. Zaradi te odpornosti jih je težko popolnoma odstraniti.
• Širjenje in stransko gibanje : Ko je sistem ogrožen, lahko RATs olajšajo stransko gibanje po omrežju in okužijo več naprav. Ta zmožnost omogoča napadalcem, da razširijo svoj nadzor in potencialno povzročijo obsežno škodo.
• Omogočanje dodatnih napadov : RAT lahko služijo kot prehod za druge vrste zlonamerne programske opreme ali napredne trajne grožnje (APT). Napadalci lahko uporabijo ogroženi sistem kot izhodiščno točko za nadaljnje napade, zaradi česar postane začetna kršitev kritična točka ranljivosti.
• Uporaba pri ciljno usmerjenih napadih : podgane se pogosto uporabljajo pri ciljno usmerjenih napadih na določene posameznike, organizacije ali industrije. Zaradi njihove prilagoditve in prilagodljivosti so dragocena orodja za kibernetske kriminalce s posebnimi cilji.

Na splošno so zaradi kombinacije prikritosti, vztrajnosti in širokega nabora zmogljivosti, povezanih z RAT-ji, še posebej nevarni in povzročajo veliko skrb strokovnjakom in organizacijam za kibernetsko varnost. Preprečevanje, odkrivanje in blažitev vpliva okužb s podganami zahteva močne ukrepe kibernetske varnosti in stalno budnost.