NetSupport RAT

Vzdelávanie, vládne sektory a sektory podnikových služieb sú pod útokom aktérov hrozieb, ktorí používajú trójsky kôň pre vzdialený prístup známy ako NetSupport RAT. Tento hrozivý softvér je dodávaný prostredníctvom klamlivých aktualizácií, sťahovania z auta, používania nakladačov malvéru ako GHOSTPULSE a rôznych typov phishingových kampaní. V priebehu niekoľkých týždňov výskumníci v oblasti kybernetickej bezpečnosti identifikovali množstvo infekcií spojených s NetSupport RAT.

NetSupport RAT sa začal ako legitímny nástroj

Hoci NetSupport Manager pôvodne slúžil ako legitímny nástroj vzdialenej správy určený na technickú podporu, aktéri hrozieb ho kruto prepracovali. Využívajú nástroj ako oporu na vykonávanie následných útokov. NetSupport RAT sa bežne nasadzuje na počítač obete prostredníctvom podvodných webových stránok a podvodných aktualizácií prehliadača.

V roku 2022 výskumníci v oblasti kybernetickej bezpečnosti objavili cielenú útočnú kampaň zahŕňajúcu napadnuté stránky WordPress. Tieto stránky boli použité na prezentáciu falošných stránok ochrany Cloudflare DDoS, čo viedlo k šíreniu NetSupport RAT.

Ako NetSupport RAT infikuje zacielené zariadenia?

Nasadenie falošných aktualizácií webového prehliadača je stratégia bežne spojená s využívaním škodlivého softvéru na sťahovanie založeného na JavaScripte, ktorý sa nazýva SocGholish (známy aj ako FakeUpdates). Tento variant malvéru bol tiež pozorovaný pri šírení malvéru zavádzača označeného ako BLISTER .

Užitočné zaťaženie JavaScriptu potom spustí PowerShell, aby nadviazal spojenie so vzdialeným serverom a načítal archívny súbor ZIP obsahujúci NetSupport RAT. Po inštalácii tento RAT začne komunikovať so serverom Command-and-Control (C2, C&C).

Po úplnom zavedení do zariadenia obete získava NetSupport schopnosť monitorovať aktivity, prenášať súbory, manipulovať s počítačovými konfiguráciami a presúvať sa laterálne na iné zariadenia v rámci siete.

RAT (Trójske kone s vzdialeným prístupom) patria medzi najškodlivejšie hrozby škodlivého softvéru

RAT sú považované za jednu z najškodlivejších malvérových hrozieb kvôli ich schopnosti poskytnúť neoprávnený prístup a kontrolu nad počítačom alebo sieťou obete. Tu je niekoľko dôvodov, prečo RAT predstavujú významné riziká:

• Neoprávnený prístup a kontrola : RAT umožňujú útočníkom získať úplnú kontrolu nad cieleným systémom na diaľku. Táto úroveň prístupu im umožňuje vykonávať rôzne škodlivé aktivity bez vedomia alebo súhlasu používateľa.
• Skrytá prevádzka : RAT sú navrhnuté tak, aby fungovali skryto a často sa vyhýbali detekcii tradičnými bezpečnostnými opatreniami. Ich kradmá povaha im umožňuje zostať dlho neodhalení, čo útočníkom poskytuje dostatok času na uskutočnenie ich škodlivých cieľov.
• Krádež údajov a špionáž : RAT možno použiť na zhromažďovanie citlivých informácií, ako sú osobné údaje, prihlasovacie údaje, finančné informácie a duševné vlastníctvo. Tieto zhromaždené údaje môžu byť zneužité na finančný zisk, firemnú špionáž alebo ďalšie kybernetické útoky.
• Sledovanie a monitorovanie : RAT umožňujú sledovanie aktivít obete v reálnom čase. Útočníci môžu sledovať stlačenie klávesov, zachytávať snímky obrazovky, pristupovať k súborom a dokonca aktivovať webové kamery a mikrofóny, čo vedie k vážnemu narušeniu súkromia.
• Perzistencia : RAT sú často navrhnuté tak, aby udržali perzistenciu na infikovaných systémoch a zabezpečili, že budú pokračovať v činnosti aj po reštarte alebo skenovaní bezpečnostného softvéru. Vďaka tejto odolnosti je náročné ich úplne odstrániť.
• Propagácia a laterálny pohyb : Akonáhle je systém ohrozený, RAT môžu uľahčiť laterálny pohyb v sieti a infikovať viacero zariadení. Táto schopnosť umožňuje útočníkom rozšíriť svoju kontrolu a potenciálne spôsobiť rozsiahle škody.
• Uľahčenie ďalších útokov : RAT môžu slúžiť ako brána pre iné typy malvéru alebo pokročilé perzistentné hrozby (APT). Útočníci môžu použiť napadnutý systém ako štartovací bod pre ďalšie útoky, čím sa počiatočné narušenie stane kritickým bodom zraniteľnosti.
• Použitie pri cielených útokoch : RAT sa často používajú pri cielených útokoch proti konkrétnym jednotlivcom, organizáciám alebo odvetviam. Ich prispôsobenie a prispôsobivosť z nich robí cenné nástroje pre kyberzločincov s konkrétnymi cieľmi.

Celkovo možno povedať, že kombinácia utajenia, vytrvalosti a širokého spektra schopností spojených s RAT ich robí obzvlášť nebezpečnými a predstavuje významný problém pre profesionálov a organizácie v oblasti kybernetickej bezpečnosti. Prevencia, zisťovanie a zmierňovanie vplyvu infekcií RAT si vyžaduje robustné opatrenia kybernetickej bezpečnosti a neustálu ostražitosť.