NetSupport الفئران

تتعرض قطاعات التعليم والحكومة وخدمات الأعمال للهجوم من قبل جهات التهديد باستخدام حصان طروادة للوصول عن بعد المعروف باسم NetSupport RAT. يتم تسليم برنامج التهديد هذا من خلال التحديثات الخادعة والتنزيلات من محرك الأقراص واستخدام أدوات تحميل البرامج الضارة مثل GHOSTPULSE وأنواع مختلفة من حملات التصيد الاحتيالي. في غضون بضعة أسابيع فقط، حدد باحثو الأمن السيبراني العديد من الإصابات المرتبطة بـ NetSupport RAT.

بدأ NetSupport RAT كأداة مشروعة

على الرغم من أن NetSupport Manager كان في البداية بمثابة أداة مشروعة للإدارة عن بعد مصممة للدعم الفني، إلا أنه تم إعادة استخدامه بشكل شرس من قبل جهات التهديد. إنهم يستغلون الأداة كموطئ قدم لتنفيذ هجمات لاحقة. يتم نشر NetSupport RAT بشكل شائع على كمبيوتر الضحية من خلال مواقع الويب الخادعة وتحديثات المتصفح الاحتيالية.

في عام 2022، اكتشف باحثو الأمن السيبراني حملة هجومية مستهدفة تتضمن مواقع WordPress مخترقة. تم استخدام هذه المواقع لعرض صفحات حماية Cloudflare DDoS المزيفة، مما أدى إلى نشر NetSupport RAT.

كيف يصيب NetSupport RAT الأجهزة المستهدفة؟

يعد نشر تحديثات متصفح الويب المزيفة بمثابة إستراتيجية مرتبطة عادةً باستخدام برنامج ضار للتنزيل يعتمد على JavaScript يسمى SocGholish (المعروف أيضًا باسم FakeUpdates). وقد لوحظ أيضًا أن هذا النوع من البرامج الضارة ينشر برنامجًا ضارًا لأداة التحميل تم تحديده على أنه BLISTER .

تقوم حمولة JavaScript بعد ذلك بتشغيل PowerShell لإنشاء اتصال مع خادم بعيد، وجلب ملف أرشيف ZIP يحتوي على NetSupport RAT. عند التثبيت، يبدأ RAT هذا في الاتصال بخادم القيادة والتحكم (C2، C&C).

وبمجرد تثبيته بالكامل على جهاز الضحية، يكتسب NetSupport القدرة على مراقبة الأنشطة، ونقل الملفات، ومعالجة تكوينات الكمبيوتر، والانتقال أفقيًا إلى الأجهزة الأخرى داخل الشبكة.

تعد RATs (أحصنة طروادة للوصول عن بعد) من بين تهديدات البرامج الضارة الأكثر ضررًا

تعتبر RATs من بين تهديدات البرامج الضارة الأكثر ضررًا نظرًا لقدرتها على توفير الوصول والتحكم غير المصرح به على كمبيوتر الضحية أو شبكته. فيما يلي عدة أسباب تجعل RATs تشكل مخاطر كبيرة:

• الوصول والتحكم غير المصرح به : تسمح RATs للمهاجمين بالتحكم الكامل في النظام المستهدف عن بعد. يمكّنهم مستوى الوصول هذا من تنفيذ العديد من الأنشطة الضارة دون علم المستخدم أو موافقته.
• التشغيل التخفي : تم تصميم RATs للعمل بشكل سري، وغالبًا ما تتجنب اكتشافها بواسطة الإجراءات الأمنية التقليدية. وتسمح طبيعتها التخفيية بالبقاء غير مكتشفة لفترات طويلة، مما يمنح المهاجمين متسعًا من الوقت لتنفيذ أهدافهم الخبيثة.
• سرقة البيانات والتجسس : يمكن استخدام RATs لجمع معلومات حساسة، مثل البيانات الشخصية وبيانات اعتماد تسجيل الدخول والمعلومات المالية والملكية الفكرية. يمكن استغلال هذه البيانات المجمعة لتحقيق مكاسب مالية أو التجسس على الشركات أو المزيد من الهجمات السيبرانية.
• المراقبة والرصد : تمكن RATs من مراقبة أنشطة الضحية في الوقت الحقيقي. يمكن للمهاجمين مراقبة ضغطات المفاتيح، والتقاط لقطات الشاشة، والوصول إلى الملفات، وحتى تنشيط كاميرات الويب والميكروفونات، مما يؤدي إلى انتهاك شديد للخصوصية.
• الثبات : غالبًا ما يتم تصميم RATs للحفاظ على الثبات على الأنظمة المصابة، مما يضمن استمرارها في العمل حتى بعد عمليات إعادة التشغيل أو فحص برامج الأمان. هذه المرونة تجعل من الصعب إزالتها بالكامل.
• الانتشار والحركة الجانبية : بمجرد اختراق النظام، يمكن لـ RATs تسهيل الحركة الجانبية عبر الشبكة، مما يؤدي إلى إصابة أجهزة متعددة. تسمح هذه الإمكانية للمهاجمين بتوسيع نطاق سيطرتهم ومن المحتمل أن يتسببوا في أضرار واسعة النطاق.
• تسهيل الهجمات الإضافية : يمكن أن تكون RATs بمثابة بوابة لأنواع أخرى من البرامج الضارة أو التهديدات المستمرة المتقدمة (APTs). قد يستخدم المهاجمون النظام المخترق كنقطة انطلاق لمزيد من الهجمات، مما يجعل الاختراق الأولي نقطة ضعف حرجة.
• الاستخدام في الهجمات المستهدفة : كثيرًا ما يتم استخدام RATs في هجمات مستهدفة ضد أفراد أو منظمات أو صناعات محددة. إن تخصيصها وقابليتها للتكيف يجعلها أدوات قيمة لمجرمي الإنترنت ذوي الأهداف المحددة.

بشكل عام، فإن الجمع بين التخفي والمثابرة والمجموعة الواسعة من القدرات المرتبطة بـ RATs يجعلها خطيرة بشكل خاص ومصدر قلق كبير لمحترفي ومؤسسات الأمن السيبراني. يتطلب منع وكشف وتخفيف تأثير عدوى RAT اتخاذ تدابير قوية للأمن السيبراني واليقظة المستمرة.