NetSupport RAT

Haridus-, valitsus- ja äriteenuste sektorit rünnavad ohustajad, kes kasutavad kaugjuurdepääsu troojalast, mida tuntakse NetSupport RAT nime all. See ähvardav tarkvara edastatakse petlike värskenduste, kiire allalaadimise, pahavara laadijate (nt GHOSTPULSE) kasutamise ja erinevat tüüpi andmepüügikampaaniate kaudu. Vaid mõne nädala jooksul on küberturvalisuse teadlased tuvastanud arvukalt NetSupport RAT-iga seotud nakkusi.

NetSupport RAT sai alguse seadusliku tööriistana

Kuigi NetSupport Manager oli algselt tehnilise toe jaoks loodud legitiimne kaughaldustööriist, on ohus osalejad seda kurjalt ümber kasutanud. Nad kasutavad tööriista edasiste rünnakute läbiviimiseks tugipunktina. NetSupport RAT-i kasutatakse tavaliselt ohvri arvutis petlike veebisaitide ja petturlike brauserivärskenduste kaudu.

2022. aastal avastasid küberturvalisuse uurijad sihitud rünnakukampaania, mis hõlmas ohustatud WordPressi saite. Neid saite kasutati võltsitud Cloudflare DDoS-i kaitselehtede esitlemiseks, mis viis NetSupport RATi levitamiseni.

Kuidas NetSupport RAT sihitud seadmeid nakatab?

Võltsitud veebibrauseri värskenduste juurutamine on strateegia, mis on tavaliselt seotud JavaScripti-põhise allalaadija pahavara SocGholish (tuntud ka kui FakeUpdates) kasutamisega. Samuti on täheldatud, et see pahavara variant levitab laadija pahavara, mis on tuvastatud kui BLISTER .

Seejärel käivitab JavaScripti kasulik koormus PowerShelli, et luua ühendus kaugserveriga, hankides NetSupport RAT-i sisaldava ZIP-arhiivifaili. Installimisel hakkab see RAT suhtlema Command-and-Control (C2, C&C) serveriga.

Kui NetSupport on ohvri seadmesse täielikult sisse seatud, saab NetSupport võimaluse jälgida tegevusi, edastada faile, manipuleerida arvuti konfiguratsioonidega ja liikuda külgsuunas teistele võrgus olevatele seadmetele.

RAT-id (kaugjuurdepääsu troojalased) kuuluvad kõige kahjulikumate pahavaraohtude hulka

RAT-e peetakse enim kahjustavate pahavaraohtude hulka, kuna need suudavad pakkuda volitamata juurdepääsu ohvri arvutile või võrgule ja kontrolli selle üle. Siin on mitu põhjust, miks RAT-id kujutavad endast olulisi riske:

• Volitamata juurdepääs ja juhtimine : RAT-id võimaldavad ründajatel saada sihitud süsteemi üle täielik kontroll kaugjuhtimisega. See juurdepääsutase võimaldab neil sooritada mitmesuguseid pahatahtlikke tegevusi ilma kasutaja teadmata või nõusolekuta.
• Varjatud toimimine : RAT-id on loodud töötama varjatult, vältides sageli tavapäraste turvameetmetega tuvastamist. Nende vargsi loomus võimaldab neil jääda pikka aega märkamatuks, andes ründajatele piisavalt aega oma pahatahtlike eesmärkide täitmiseks.
• Andmete vargus ja spionaaž : RAT-e saab kasutada tundliku teabe, näiteks isikuandmete, sisselogimismandaatide, finantsteabe ja intellektuaalomandi kogumiseks. Neid kogutud andmeid saab kasutada rahalise kasu, ettevõtte spionaaži või edasiste küberrünnakute eesmärgil.
• Järelevalve ja jälgimine : RAT-id võimaldavad ohvri tegevust reaalajas jälgida. Ründajad saavad jälgida klahvivajutusi, jäädvustada ekraanipilte, pääseda juurde failidele ja isegi aktiveerida veebikaameraid ja mikrofone, mis viib privaatsuse tõsise riiveni.
• Püsivus : RAT-id on sageli loodud selleks, et säilitada püsivus nakatunud süsteemides, tagades nende toimimise ka pärast taaskäivitamist või turvatarkvara skannimist. See vastupidavus muudab nende täieliku eemaldamise keeruliseks.
• Levitamine ja külgmine liikumine : kui süsteem on ohustatud, võivad RAT-id hõlbustada külgsuunalist liikumist üle võrgu, nakatades mitut seadet. See võimalus võimaldab ründajatel oma kontrolli laiendada ja potentsiaalselt põhjustada ulatuslikku kahju.
• Täiendavate rünnakute hõlbustamine : RAT-id võivad olla lüüsiks muud tüüpi pahavara või täiustatud püsivate ohtude (APT) jaoks. Ründajad võivad kasutada ohustatud süsteemi edasiste rünnakute lähtepunktina, muutes esialgsest rikkumisest haavatavuse kriitilise punkti.
• Kasutamine sihitud rünnakutes : RAT-e kasutatakse sageli konkreetsete isikute, organisatsioonide või tööstusharude vastu suunatud rünnakutes. Nende kohandamine ja kohandatavus muudavad need väärtuslikeks tööriistadeks konkreetsete eesmärkidega küberkurjategijatele.

Üldiselt muudab RAT-idega seotud varguse, püsivuse ja laiaulatuslike võimaluste kombinatsioon need eriti ohtlikuks ja küberturvalisuse spetsialistide ja organisatsioonide jaoks oluliseks murekohaks. RAT-nakkuste ennetamine, avastamine ja mõju leevendamine nõuab tugevaid küberjulgeolekumeetmeid ja pidevat valvsust.