网络支持RAT
教育、政府和商业服务部门正受到威胁行为者使用名为 NetSupport RAT 的远程访问木马的攻击。这种威胁软件通过欺骗性更新、偷渡式下载、使用GHOSTPULSE等恶意软件加载程序以及各种类型的网络钓鱼活动来传播。在短短几周内,网络安全研究人员发现了许多与 NetSupport RAT 有关的感染。
目录
NetSupport RAT 最初是一个合法工具
尽管 NetSupport Manager 最初是为技术支持而设计的合法远程管理工具,但它已被威胁行为者恶意改变用途。他们利用该工具作为进行后续攻击的立足点。 NetSupport RAT 通常通过欺骗性网站和欺诈性浏览器更新部署在受害者的计算机上。
2022 年,网络安全研究人员发现了一次涉及受感染 WordPress 网站的有针对性的攻击活动。这些网站被用来展示虚假的 Cloudflare DDoS 保护页面,从而导致 NetSupport RAT 的传播。
NetSupport RAT 如何感染目标设备?
部署假冒网络浏览器更新是一种通常与使用名为SocGholish (也称为 FakeUpdates)的基于 JavaScript 的下载器恶意软件相关的策略。还观察到该恶意软件变体传播了名为BLISTER的加载程序恶意软件。
然后,JavaScript 负载触发 PowerShell 与远程服务器建立连接,获取包含 NetSupport RAT 的 ZIP 存档文件。安装后,此 RAT 开始与命令与控制(C2、C&C)服务器通信。
一旦完全建立在受害者的设备上,NetSupport 就能够监控活动、传输文件、操纵计算机配置以及横向移动到网络内的其他设备。
RAT(远程访问木马)是最有害的恶意软件威胁之一
RAT 被认为是最具破坏性的恶意软件威胁之一,因为它们能够对受害者的计算机或网络提供未经授权的访问和控制。以下是 RAT 造成重大风险的几个原因:
- 未经授权的访问和控制: RAT 允许攻击者远程完全控制目标系统。这种访问级别使他们能够在用户不知情或同意的情况下执行各种恶意活动。
- 隐秘操作: RAT 旨在隐秘操作,通常会逃避传统安全措施的检测。它们的隐秘性质使它们能够长时间不被发现,从而使攻击者有充足的时间来实现其恶意目标。
- 数据盗窃和间谍活动: RAT 可用于收集敏感信息,例如个人数据、登录凭据、财务信息和知识产权。收集到的数据可用于获取经济利益、企业间谍活动或进一步的网络攻击。
- 监视和监测: RAT 可以实时监视受害者的活动。攻击者可以监控击键、捕获屏幕截图、访问文件,甚至激活网络摄像头和麦克风,从而严重侵犯隐私。
- 持久性: RAT 通常旨在保持受感染系统的持久性,确保它们即使在重新启动或安全软件扫描后也能继续运行。这种弹性使得它们很难完全去除。
- 传播和横向移动:一旦系统受到损害,RAT 就可以促进跨网络的横向移动,从而感染多个设备。此功能使攻击者能够扩大控制范围并可能造成广泛的损害。
- 促进其他攻击: RAT 可以充当其他类型恶意软件或高级持续威胁 (APT) 的网关。攻击者可能会利用受感染的系统作为进一步攻击的发起点,从而使最初的破坏成为漏洞的关键点。
- 用于有针对性的攻击: RAT 经常用于针对特定个人、组织或行业的有针对性的攻击。它们的定制性和适应性使它们成为具有特定目标的网络犯罪分子的宝贵工具。
总体而言,与 RAT 相关的隐秘性、持久性和广泛功能的结合使它们特别危险,并成为网络安全专业人员和组织的重大担忧。预防、检测和减轻 RAT 感染的影响需要强大的网络安全措施和持续的警惕。
