Kortingen op meerdere licenties
Threat Database Remote Administration Tools NetSupport-RAT

NetSupport-RAT

Tegen Mezo in Remote Administration Tools
Vertalen naar:
Nederlands

De sectoren onderwijs, overheid en zakelijke dienstverlening worden aangevallen door bedreigingsactoren die een trojan voor externe toegang gebruiken, bekend als de NetSupport RAT. Deze bedreigende software wordt verspreid via misleidende updates, drive-by downloads, het gebruik van malware-laders zoals GHOSTPULSE en verschillende soorten phishing-campagnes. In slechts een paar weken tijd hebben cybersecurityonderzoekers talloze infecties geïdentificeerd die verband houden met de NetSupport RAT.

De NetSupport RAT begon als een legitiem hulpmiddel

Hoewel NetSupport Manager aanvankelijk diende als een legitiem hulpmiddel voor extern beheer, ontworpen voor technische ondersteuning, is het op kwaadaardige wijze hergebruikt door bedreigingsactoren. Ze exploiteren de tool als basis voor het uitvoeren van volgende aanvallen. De NetSupport RAT wordt vaak op de computer van een slachtoffer ingezet via misleidende websites en frauduleuze browserupdates.

In 2022 ontdekten cybersecurity-onderzoekers een gerichte aanvalscampagne waarbij gecompromitteerde WordPress-sites betrokken waren. Deze sites werden gebruikt om valse Cloudflare DDoS-beveiligingspagina's te presenteren, wat leidde tot de verspreiding van de NetSupport RAT.

Hoe de NetSupport RAT gerichte apparaten infecteert?

De implementatie van nagemaakte webbrowser-updates is een strategie die vaak verband houdt met het gebruik van een op JavaScript gebaseerde downloader-malware genaamd SocGholish (ook bekend als FakeUpdates). Er is ook waargenomen dat deze malwarevariant een loader-malware verspreidt die is geïdentificeerd als BLISTER .

De JavaScript-payload activeert vervolgens PowerShell om een verbinding tot stand te brengen met een externe server, waarbij een ZIP-archiefbestand wordt opgehaald met de NetSupport RAT. Na installatie begint deze RAT te communiceren met een Command-and-Control (C2, C&C)-server.

Zodra NetSupport volledig op het apparaat van een slachtoffer is geïnstalleerd, krijgt het de mogelijkheid om activiteiten te monitoren, bestanden over te dragen, computerconfiguraties te manipuleren en lateraal naar andere apparaten binnen het netwerk te verplaatsen.

RAT's (Remote Access Trojans) behoren tot de schadelijkste malwarebedreigingen

RAT's worden beschouwd als een van de schadelijkste malwarebedreigingen vanwege hun vermogen om ongeautoriseerde toegang en controle te bieden over de computer of het netwerk van een slachtoffer. Hier zijn verschillende redenen waarom RAT's aanzienlijke risico's met zich meebrengen:

  • Ongeautoriseerde toegang en controle : Met RAT's kunnen aanvallers op afstand volledige controle krijgen over een gericht systeem. Met dit toegangsniveau kunnen ze verschillende kwaadaardige activiteiten uitvoeren zonder medeweten of toestemming van de gebruiker.
  • Stealthy Operation : RAT's zijn ontworpen om heimelijk te opereren en vaak detectie door traditionele beveiligingsmaatregelen te omzeilen. Door hun heimelijke karakter kunnen ze langere tijd onopgemerkt blijven, waardoor aanvallers ruimschoots de tijd hebben om hun kwaadaardige doelstellingen uit te voeren.
  • Gegevensdiefstal en spionage : RAT's kunnen worden gebruikt om gevoelige informatie te verzamelen, zoals persoonlijke gegevens, inloggegevens, financiële informatie en intellectueel eigendom. Deze verzamelde gegevens kunnen worden misbruikt voor financieel gewin, bedrijfsspionage of verdere cyberaanvallen.
  • Bewaking en monitoring : RAT's maken realtime surveillance van de activiteiten van een slachtoffer mogelijk. Aanvallers kunnen toetsaanslagen monitoren, schermafbeeldingen maken, toegang krijgen tot bestanden en zelfs webcams en microfoons activeren, wat leidt tot een ernstige inbreuk op de privacy.
  • Persistentie : RAT's zijn vaak ontworpen om persistentie op geïnfecteerde systemen te behouden, zodat ze blijven werken, zelfs na opnieuw opstarten of scans van beveiligingssoftware. Deze veerkracht maakt het een uitdaging om ze volledig te verwijderen.
  • Voortplanting en zijdelingse beweging : zodra een systeem is aangetast, kunnen RAT's zijdelingse beweging over een netwerk vergemakkelijken, waardoor meerdere apparaten worden geïnfecteerd. Met deze mogelijkheid kunnen aanvallers hun controle uitbreiden en mogelijk wijdverspreide schade aanrichten.
  • Faciliteren van aanvullende aanvallen : RAT's kunnen dienen als toegangspoort voor andere soorten malware of geavanceerde persistente bedreigingen (APT's). Aanvallers kunnen het gecompromitteerde systeem gebruiken als startpunt voor verdere aanvallen, waardoor de eerste inbreuk een kritiek punt van kwetsbaarheid wordt.
  • Gebruik bij gerichte aanvallen : RAT's worden vaak gebruikt bij gerichte aanvallen tegen specifieke individuen, organisaties of industrieën. Hun aanpassingsvermogen en aanpassingsvermogen maken ze waardevolle hulpmiddelen voor cybercriminelen met specifieke doelstellingen.

Over het geheel genomen maakt de combinatie van stealth, doorzettingsvermogen en het brede scala aan mogelijkheden die aan RAT's zijn gekoppeld, ze bijzonder gevaarlijk en een grote zorg voor cyberbeveiligingsprofessionals en -organisaties. Het voorkomen, detecteren en beperken van de impact van RAT-infecties vereist robuuste cyberbeveiligingsmaatregelen en voortdurende waakzaamheid.

Trending

Meest bekeken

Bezig met laden...