NetSupport RAT

Sektorene for utdanning, myndigheter og forretningstjenester er under angrep av trusselaktører som bruker en fjerntilgangstrojan kjent som NetSupport RAT. Denne truende programvaren leveres gjennom villedende oppdateringer, drive-by-nedlastinger, bruk av malware-lastere som GHOSTPULSE og ulike typer phishing-kampanjer. I løpet av bare noen få uker har cybersikkerhetsforskere identifisert en rekke infeksjoner knyttet til NetSupport RAT.

NetSupport RAT startet som et legitimt verktøy

Selv om NetSupport Manager i utgangspunktet fungerte som et legitimt eksternt administrasjonsverktøy designet for teknisk støtte, har det blitt brutalt omarbeidet av trusselaktører. De utnytter verktøyet som et fotfeste for å utføre påfølgende angrep. NetSupport RAT blir ofte distribuert på et offers datamaskin gjennom villedende nettsteder og falske nettleseroppdateringer.

I 2022 oppdaget cybersikkerhetsforskere en målrettet angrepskampanje som involverte kompromitterte WordPress-nettsteder. Disse nettstedene ble brukt til å vise frem falske Cloudflare DDoS-beskyttelsessider, noe som førte til spredning av NetSupport RAT.

Hvordan infiserer NetSupport RAT målrettede enheter?

Utrulling av forfalskede nettleseroppdateringer er en strategi som vanligvis er knyttet til bruken av en JavaScript-basert nedlastningsskadelig programvare kalt SocGholish (også kjent som FakeUpdates). Denne malware-varianten har også blitt observert spre en loader-skadevare identifisert som BLISTER .

JavaScript-nyttelasten utløser deretter PowerShell for å etablere en forbindelse med en ekstern server, og henter en ZIP-arkivfil som inneholder NetSupport RAT. Ved installasjon begynner denne RAT å kommunisere med en Command-and-Control-server (C2, C&C).

Når den er fullstendig etablert på et offers enhet, får NetSupport muligheten til å overvåke aktiviteter, overføre filer, manipulere datamaskinkonfigurasjoner og flytte sideveis til andre enheter i nettverket.

RAT-er (Remote Access Trojans) er blant de mest skadelige truslene om skadelig programvare

RAT-er regnes blant de mest skadelige truslene mot skadelig programvare på grunn av deres evne til å gi uautorisert tilgang og kontroll over et offers datamaskin eller nettverk. Her er flere grunner til at RAT utgjør betydelig risiko:

• Uautorisert tilgang og kontroll : RAT-er lar angripere få fullstendig kontroll over et målrettet system eksternt. Dette tilgangsnivået gjør dem i stand til å utføre ulike ondsinnede aktiviteter uten brukerens viten eller samtykke.
• Stealthy Operation : RAT-er er designet for å operere skjult, og unngår ofte oppdagelse med tradisjonelle sikkerhetstiltak. Deres snikende natur gjør at de kan forbli uoppdaget i lengre perioder, noe som gir angripere god tid til å utføre sine ondsinnede mål.
• Datatyveri og spionasje : RAT-er kan brukes til å samle inn sensitiv informasjon, for eksempel personopplysninger, påloggingsinformasjon, finansiell informasjon og åndsverk. Disse innsamlede dataene kan utnyttes til økonomisk gevinst, bedriftsspionasje eller ytterligere cyberangrep.
• Overvåking og overvåking : RAT-er muliggjør sanntidsovervåking av et offers aktiviteter. Angripere kan overvåke tastetrykk, ta skjermbilder, få tilgang til filer og til og med aktivere webkameraer og mikrofoner, noe som fører til en alvorlig invasjon av personvernet.
• Utholdenhet : RAT-er er ofte utformet for å opprettholde utholdenhet på infiserte systemer, for å sikre at de fortsetter å fungere selv etter omstart eller skanning av sikkerhetsprogramvare. Denne motstandskraften gjør dem utfordrende å fjerne helt.
• Utbredelse og lateral bevegelse : Når et system er kompromittert, kan RAT-er lette sideveis bevegelse over et nettverk, og infisere flere enheter. Denne muligheten lar angripere utvide kontrollen og potensielt forårsake omfattende skade.
• Tilrettelegging for ytterligere angrep : RAT-er kan tjene som en inngangsport for andre typer skadelig programvare eller avanserte vedvarende trusler (APT). Angripere kan bruke det kompromitterte systemet som et startpunkt for ytterligere angrep, noe som gjør det første bruddet til et kritisk sårbarhetspunkt.
• Bruk i målrettede angrep : RAT-er brukes ofte i målrettede angrep mot spesifikke individer, organisasjoner eller bransjer. Deres tilpasning og tilpasningsevne gjør dem til verdifulle verktøy for nettkriminelle med spesifikke mål.

Samlet sett gjør kombinasjonen av sniking, utholdenhet og det brede spekteret av evner knyttet til RAT-er dem spesielt farlige og til en betydelig bekymring for fagfolk og organisasjoner innen cybersikkerhet. Å forebygge, oppdage og dempe virkningen av RAT-infeksjoner krever robuste cybersikkerhetstiltak og kontinuerlig årvåkenhet.