NetDestek RAT

Eğitim, hükümet ve iş hizmetleri sektörleri, NetSupport RAT olarak bilinen uzaktan erişim truva atını kullanan tehdit aktörlerinin saldırısı altındadır. Bu tehdit edici yazılım, aldatıcı güncellemeler, anlık indirmeler, GHOSTPULSE gibi kötü amaçlı yazılım yükleyicilerin kullanımı ve çeşitli kimlik avı kampanyaları yoluyla sunulur. Sadece birkaç hafta içinde siber güvenlik araştırmacıları NetSupport RAT ile bağlantılı çok sayıda enfeksiyon tespit etti.

NetSupport RAT Meşru Bir Araç Olarak Başladı

NetSupport Manager başlangıçta teknik destek için tasarlanmış meşru bir uzaktan yönetim aracı olarak hizmet vermiş olsa da, tehdit aktörleri tarafından acımasızca başka bir amaca uygun hale getirildi. Aracı daha sonraki saldırıları gerçekleştirmek için bir dayanak noktası olarak kullanıyorlar. NetSupport RAT genellikle aldatıcı web siteleri ve sahte tarayıcı güncellemeleri aracılığıyla kurbanın bilgisayarına kurulur.

2022'de siber güvenlik araştırmacıları, güvenliği ihlal edilmiş WordPress sitelerini içeren hedefli bir saldırı kampanyası keşfetti. Bu siteler sahte Cloudflare DDoS koruma sayfalarını sergilemek için kullanıldı ve NetSupport RAT'ın yayılmasına yol açtı.

NetSupport RAT Hedeflenen Cihazlara Nasıl Etki Ediyor?

Sahte web tarayıcısı güncellemelerinin dağıtımı, genellikle SocGholish (FakeUpdates olarak da bilinir) adı verilen JavaScript tabanlı indirici kötü amaçlı yazılımın kullanılmasıyla bağlantılı bir stratejidir. Bu kötü amaçlı yazılım varyantının, BLISTER olarak tanımlanan bir yükleyici kötü amaçlı yazılımını yaydığı da gözlemlendi.

JavaScript verisi daha sonra PowerShell'i uzak bir sunucuyla bağlantı kurmak için tetikler ve NetSupport RAT'ı içeren bir ZIP arşiv dosyasını getirir. Kurulumun ardından bu RAT, Komuta ve Kontrol (C2, C&C) sunucusuyla iletişim kurmaya başlar.

NetSupport, kurbanın cihazına tam olarak kurulduğunda etkinlikleri izleme, dosya aktarma, bilgisayar yapılandırmalarını değiştirme ve ağ içindeki diğer cihazlara yanal olarak geçme yeteneğini kazanır.

RAT'lar (Uzaktan Erişim Truva Atları) En Zararlı Kötü Amaçlı Yazılım Tehditleri Arasındadır

RAT'lar, kurbanın bilgisayarı veya ağı üzerinde yetkisiz erişim ve kontrol sağlama yetenekleri nedeniyle en zarar verici kötü amaçlı yazılım tehditleri arasında kabul edilir. RAT'ların önemli riskler oluşturmasının birkaç nedeni vardır:

• Yetkisiz Erişim ve Kontrol : RAT'lar, saldırganların hedeflenen sistem üzerinde uzaktan tam kontrol sahibi olmasına olanak tanır. Bu erişim düzeyi, kullanıcının bilgisi veya izni olmadan çeşitli kötü amaçlı etkinlikleri yürütmelerine olanak tanır.
• Gizli Çalışma : RAT'lar, genellikle geleneksel güvenlik önlemleriyle tespit edilmekten kaçınarak gizlice çalışacak şekilde tasarlanmıştır. Gizli yapıları, uzun süre fark edilmemelerine olanak tanıyarak saldırganlara kötü niyetli amaçlarını gerçekleştirmeleri için yeterli zaman tanır.
• Veri Hırsızlığı ve Casusluk : RAT'lar kişisel veriler, oturum açma bilgileri, finansal bilgiler ve fikri mülkiyet gibi hassas bilgileri toplamak için kullanılabilir. Toplanan bu veriler finansal kazanç, kurumsal casusluk veya başka siber saldırılar amacıyla kullanılabilir.
• Gözetim ve İzleme : RAT'lar, mağdurun faaliyetlerinin gerçek zamanlı olarak gözetlenmesine olanak tanır. Saldırganlar tuş vuruşlarını izleyebilir, ekran görüntüleri yakalayabilir, dosyalara erişebilir ve hatta web kameralarını ve mikrofonları etkinleştirebilir, bu da ciddi bir mahremiyet ihlaline yol açabilir.
• Kalıcılık : RAT'lar genellikle virüs bulaşmış sistemlerde kalıcılığı sürdürecek ve yeniden başlatmalar veya güvenlik yazılımı taramalarından sonra bile çalışmaya devam etmelerini sağlayacak şekilde tasarlanmıştır. Bu esneklik onları tamamen ortadan kaldırmayı zorlaştırır.
• Yayılma ve Yanal Hareket : Bir sistem tehlikeye girdiğinde, RAT'lar ağ üzerinde yanal hareketi kolaylaştırarak birden fazla cihaza bulaşabilir. Bu yetenek, saldırganların kontrollerini genişletmelerine ve potansiyel olarak geniş çaplı hasara neden olmalarına olanak tanır.
• Ek Saldırıların Kolaylaştırılması : RAT'lar, diğer kötü amaçlı yazılım türleri veya gelişmiş kalıcı tehditler (APT'ler) için bir ağ geçidi görevi görebilir. Saldırganlar, ele geçirilen sistemi daha sonraki saldırılar için bir başlangıç noktası olarak kullanabilir ve bu da ilk ihlali kritik bir güvenlik açığı noktası haline getirebilir.
• Hedefli Saldırılarda Kullanım : RAT'lar sıklıkla belirli kişilere, kuruluşlara veya sektörlere yönelik hedefli saldırılarda kullanılır. Özelleştirilebilirlikleri ve uyarlanabilirlikleri, onları belirli hedefleri olan siber suçlular için değerli araçlar haline getiriyor.

Genel olarak, RAT'larla ilgili gizlilik, kalıcılık ve geniş yelpazedeki yeteneklerin birleşimi, onları özellikle tehlikeli hale getiriyor ve siber güvenlik uzmanları ve kuruluşları için önemli bir endişe kaynağı haline getiriyor. RAT enfeksiyonlarının önlenmesi, tespit edilmesi ve etkilerinin azaltılması, sağlam siber güvenlik önlemleri ve sürekli dikkat gerektirir.