NetSupport RAT

Sektorerna för utbildning, myndigheter och företagstjänster är under attack av hotaktörer som använder en fjärråtkomsttrojan känd som NetSupport RAT. Denna hotfulla programvara levereras genom vilseledande uppdateringar, drive-by-nedladdningar, användning av skadlig programvara som GHOSTPULSE och olika typer av nätfiskekampanjer. På bara några veckor har cybersäkerhetsforskare identifierat många infektioner kopplade till NetSupport RAT.

NetSupport RAT började som ett legitimt verktyg

Även om NetSupport Manager från början fungerade som ett legitimt fjärradministrationsverktyg utformat för teknisk support, har det blivit brutalt återanvänt av hotaktörer. De utnyttjar verktyget som ett fotfäste för att utföra efterföljande attacker. NetSupport RAT distribueras vanligtvis på ett offers dator genom vilseledande webbplatser och bedrägliga webbläsaruppdateringar.

År 2022 upptäckte cybersäkerhetsforskare en riktad attackkampanj som involverade komprometterade WordPress-webbplatser. Dessa webbplatser användes för att visa upp falska Cloudflare DDoS-skyddssidor, vilket ledde till spridningen av NetSupport RAT.

Hur infekterar NetSupport RAT riktade enheter?

Utplaceringen av förfalskade webbläsaruppdateringar är en strategi som vanligtvis är kopplad till användningen av en JavaScript-baserad skadlig programvara för nedladdning som kallas SocGholish (även känd som FakeUpdates). Denna variant av skadlig programvara har också observerats sprida en skadlig programvara som identifieras som BLISTER .

JavaScript-nyttolasten utlöser sedan PowerShell för att upprätta en anslutning till en fjärrserver och hämtar en ZIP-arkivfil som innehåller NetSupport RAT. Vid installationen börjar denna RAT att kommunicera med en Command-and-Control-server (C2, C&C).

När den väl har etablerats på ett offers enhet, får NetSupport förmågan att övervaka aktiviteter, överföra filer, manipulera datorkonfigurationer och flytta i sidled till andra enheter inom nätverket.

RAT (Remote Access Trojans) är bland de mest skadliga hoten mot skadlig programvara

RAT anses vara bland de mest skadliga hoten mot skadlig programvara på grund av deras förmåga att ge obehörig åtkomst och kontroll över ett offers dator eller nätverk. Här är flera anledningar till varför RAT utgör betydande risker:

• Obehörig åtkomst och kontroll : RAT:er tillåter angripare att få fullständig kontroll över ett riktat system på distans. Denna åtkomstnivå gör det möjligt för dem att utföra olika skadliga aktiviteter utan användarens vetskap eller samtycke.
• Smygdrift : RAT:er är utformade för att fungera i hemlighet, och undviker ofta upptäckt med traditionella säkerhetsåtgärder. Deras smygande natur tillåter dem att förbli oupptäckta under längre perioder, vilket ger angripare gott om tid att utföra sina skadliga mål.
• Datastöld och spionage : RAT:er kan användas för att samla in känslig information, såsom personuppgifter, inloggningsuppgifter, finansiell information och immateriella rättigheter. Denna insamlade data kan utnyttjas för ekonomisk vinning, företagsspionage eller ytterligare cyberattacker.
• Övervakning och övervakning : RAT:er möjliggör övervakning i realtid av ett offers aktiviteter. Angripare kan övervaka tangenttryckningar, ta skärmdumpar, komma åt filer och till och med aktivera webbkameror och mikrofoner, vilket leder till ett allvarligt intrång i integriteten.
• Persistens : RAT:er är ofta utformade för att bibehålla uthållighet på infekterade system, vilket säkerställer att de fortsätter att fungera även efter omstarter eller skanningar av säkerhetsprogramvara. Denna motståndskraft gör dem utmanande att ta bort helt.
• Utbredning och lateral rörelse : När ett system har äventyrats kan RAT:er underlätta lateral rörelse över ett nätverk och infektera flera enheter. Denna förmåga tillåter angripare att utöka sin kontroll och potentiellt orsaka omfattande skada.
• Underlättande av ytterligare attacker : RAT:er kan fungera som en gateway för andra typer av skadlig programvara eller avancerade ihållande hot (APT). Angripare kan använda det komprometterade systemet som en startpunkt för ytterligare attacker, vilket gör det initiala intrånget till en kritisk sårbarhetspunkt.
• Användning vid riktade attacker : RAT:er används ofta i riktade attacker mot specifika individer, organisationer eller industrier. Deras anpassning och anpassningsförmåga gör dem till värdefulla verktyg för cyberbrottslingar med specifika mål.

Sammantaget gör kombinationen av smygsamhet, uthållighet och det breda utbudet av kapaciteter som är förknippade med RAT:er dem särskilt farliga och till en betydande oro för cybersäkerhetsproffs och organisationer. Att förebygga, upptäcka och mildra effekterna av RAT-infektioner kräver robusta cybersäkerhetsåtgärder och kontinuerlig vaksamhet.