NetSupport RAT

Ang mga sektor ng edukasyon, gobyerno, at mga serbisyo sa negosyo ay inaatake ng mga banta ng aktor gamit ang remote access trojan na kilala bilang NetSupport RAT. Ang nagbabantang software na ito ay inihahatid sa pamamagitan ng mga mapanlinlang na update, drive-by na pag-download, paggamit ng mga malware loader tulad ng GHOSTPULSE, at iba't ibang uri ng phishing campaign. Sa loob lamang ng ilang linggo, natukoy ng mga mananaliksik sa cybersecurity ang maraming impeksyon na naka-link sa NetSupport RAT.

Nagsimula ang NetSupport RAT bilang Lehitimong Tool

Bagama't ang NetSupport Manager sa simula ay nagsilbi bilang isang lehitimong remote na tool sa pangangasiwa na idinisenyo para sa teknikal na suporta, ito ay marahas na binago ng mga aktor ng pagbabanta. Pinagsasamantalahan nila ang tool bilang isang foothold para sa pagsasagawa ng mga kasunod na pag-atake. Ang NetSupport RAT ay karaniwang naka-deploy sa computer ng biktima sa pamamagitan ng mapanlinlang na mga website at mapanlinlang na pag-update ng browser.

Noong 2022, natuklasan ng mga mananaliksik sa cybersecurity ang isang naka-target na kampanya sa pag-atake na kinasasangkutan ng mga nakompromisong WordPress site. Ginamit ang mga site na ito upang ipakita ang mga pekeng pahina ng proteksyon ng Cloudflare DDoS, na humahantong sa pagpapakalat ng NetSupport RAT.

Paano naaapektuhan ng NetSupport RAT ang Mga Naka-target na Device?

Ang deployment ng mga pekeng update sa web browser ay isang diskarte na karaniwang naka-link sa paggamit ng JavaScript-based downloader malware na tinatawag na SocGholish (kilala rin bilang FakeUpdates). Ang variant ng malware na ito ay naobserbahan din na nagpapakalat ng loader malware na kinilala bilang BLISTER .

Ang JavaScript payload pagkatapos ay nagti-trigger ng PowerShell na magtatag ng koneksyon sa isang malayuang server, na kumukuha ng ZIP archive file na naglalaman ng NetSupport RAT. Sa pag-install, ang RAT na ito ay nagsisimulang makipag-ugnayan sa isang Command-and-Control (C2, C&C) server.

Sa sandaling ganap na naitatag sa device ng biktima, ang NetSupport ay magkakaroon ng kakayahan na subaybayan ang mga aktibidad, maglipat ng mga file, manipulahin ang mga configuration ng computer, at ilipat sa gilid sa ibang mga device sa loob ng network.

Ang mga RAT (Remote Access Trojans) ay Kabilang sa Mga Pinaka Mapanganib na Banta sa Malware

Ang mga RAT ay itinuturing na kabilang sa mga pinakanakakapinsalang banta ng malware dahil sa kanilang kakayahang magbigay ng hindi awtorisadong pag-access at kontrol sa computer o network ng biktima. Narito ang ilang dahilan kung bakit nagdudulot ng malaking panganib ang mga RAT:

• Hindi Awtorisadong Pag-access at Kontrol : Ang mga RAT ay nagbibigay-daan sa mga umaatake na makakuha ng kumpletong kontrol sa isang naka-target na system nang malayuan. Ang antas ng access na ito ay nagbibigay-daan sa kanila na magsagawa ng iba't ibang malisyosong aktibidad nang walang kaalaman o pahintulot ng user.
• Stealthy Operation : Ang mga RAT ay idinisenyo upang gumana nang patago, kadalasang umiiwas sa pagtuklas ng mga tradisyunal na hakbang sa seguridad. Ang kanilang pagiging patago ay nagpapahintulot sa kanila na manatiling hindi natukoy sa loob ng mahabang panahon, na nagbibigay ng sapat na oras sa mga umaatake upang maisagawa ang kanilang mga malisyosong layunin.
• Pagnanakaw ng Data at Espionage : Maaaring gamitin ang mga RAT upang mangolekta ng sensitibong impormasyon, tulad ng personal na data, mga kredensyal sa pag-log in, impormasyon sa pananalapi, at intelektwal na pag-aari. Ang nakolektang data na ito ay maaaring samantalahin para sa pinansyal na pakinabang, corporate espionage o karagdagang pag-atake sa cyber.
• Pagsubaybay at Pagsubaybay : Ang mga RAT ay nagbibigay-daan sa real-time na pagsubaybay sa mga aktibidad ng isang biktima. Maaaring subaybayan ng mga attacker ang mga keystroke, kumuha ng mga screenshot, mag-access ng mga file, at maging i-activate ang mga webcam at mikropono, na humahantong sa isang matinding pagsalakay sa privacy.
• Pagtitiyaga : Ang mga RAT ay kadalasang idinisenyo upang mapanatili ang pagtitiyaga sa mga nahawaang system, na tinitiyak na patuloy silang gagana kahit na pagkatapos ng mga pag-reboot o pag-scan ng software ng seguridad. Ang katatagan na ito ay nagpapahirap sa kanila na ganap na alisin.
• Pagpapalaganap at Lateral Movement : Kapag nakompromiso ang isang system, maaaring mapadali ng mga RAT ang lateral na paggalaw sa isang network, na makakahawa sa maraming device. Ang kakayahang ito ay nagbibigay-daan sa mga umaatake na palawakin ang kanilang kontrol at posibleng magdulot ng malawakang pinsala.
• Pagpapadali ng Mga Karagdagang Pag-atake : Maaaring magsilbi ang mga RAT bilang gateway para sa iba pang mga uri ng malware o advanced persistent threats (APTs). Maaaring gamitin ng mga umaatake ang nakompromisong sistema bilang isang lugar ng paglulunsad para sa mga karagdagang pag-atake, na ginagawang kritikal na punto ng kahinaan ang paunang paglabag.
• Gamitin sa Mga Target na Pag-atake : Ang mga RAT ay madalas na ginagamit sa mga target na pag-atake laban sa mga partikular na indibidwal, organisasyon, o industriya. Ang kanilang pagpapasadya at kakayahang umangkop ay ginagawa silang mahalagang mga tool para sa mga cybercriminal na may mga partikular na layunin.

Sa pangkalahatan, ang kumbinasyon ng stealth, pagtitiyaga, at ang malawak na hanay ng mga kakayahan na nauugnay sa mga RAT ay ginagawa silang partikular na mapanganib at isang makabuluhang alalahanin para sa mga propesyonal at organisasyon ng cybersecurity. Ang pag-iwas, pag-detect, at pagpapagaan sa epekto ng mga impeksyon sa RAT ay nangangailangan ng matatag na mga hakbang sa cybersecurity at patuloy na pagbabantay.