網路支援RAT
教育、政府和商業服務部門正受到威脅行為者使用名為 NetSupport RAT 的遠端存取木馬的攻擊。這種威脅軟體透過欺騙性更新、偷渡式下載、使用GHOSTPULSE等惡意軟體載入程式以及各種類型的網路釣魚活動來傳播。在短短幾週內,網路安全研究人員發現了許多與 NetSupport RAT 有關的感染。
目錄
NetSupport RAT 最初是一個合法工具
儘管 NetSupport Manager 最初是為技術支援而設計的合法遠端管理工具,但它已被威脅行為者惡意改變用途。他們利用該工具作為進行後續攻擊的立足點。 NetSupport RAT 通常透過欺騙性網站和詐騙瀏覽器更新部署在受害者的電腦上。
2022 年,網路安全研究人員發現了一次涉及受感染 WordPress 網站的有針對性的攻擊活動。這些網站被用來展示虛假的 Cloudflare DDoS 保護頁面,從而導致 NetSupport RAT 的傳播。
NetSupport RAT 如何感染目標裝置?
部署假冒網頁瀏覽器更新是一種通常與使用名為SocGholish (也稱為 FakeUpdates)的基於 JavaScript 的下載器惡意軟體相關的策略。也觀察到該惡意軟體變體傳播了名為BLISTER的載入程式惡意軟體。
然後,JavaScript 負載觸發 PowerShell 與遠端伺服器建立連接,以取得包含 NetSupport RAT 的 ZIP 檔案檔案。安裝後,此 RAT 開始與命令與控制(C2、C&C)伺服器通訊。
一旦完全建立在受害者的設備上,NetSupport 就能夠監控活動、傳輸檔案、操縱電腦配置以及橫向移動到網路內的其他設備。
RAT(遠端存取木馬)是最有害的惡意軟體威脅之一
RAT 被認為是最具破壞性的惡意軟體威脅之一,因為它們能夠對受害者的電腦或網路提供未經授權的存取和控制。以下是 RAT 造成重大風險的幾個原因:
- 未經授權的存取和控制: RAT 允許攻擊者遠端完全控制目標系統。這種存取等級使他們能夠在用戶不知情或同意的情況下執行各種惡意活動。
- 隱密操作: RAT 旨在隱密操作,通常會逃避傳統安全措施的偵測。它們的隱密性質使它們能夠長時間不被發現,從而使攻擊者有充足的時間來實現其惡意目標。
- 資料竊取和間諜活動: RAT 可用於收集敏感資訊,例如個人資料、登入憑證、財務資訊和智慧財產權。收集到的資料可用於取得經濟利益、企業間諜活動或進一步的網路攻擊。
- 監視和監測: RAT 可以即時監視受害者的活動。攻擊者可以監控擊鍵、擷取螢幕截圖、存取文件,甚至啟動網路攝影機和麥克風,從而嚴重侵犯隱私。
- 持久性: RAT 通常旨在保持受感染系統的持久性,確保它們即使在重新啟動或安全軟體掃描後也能繼續運作。這種彈性使得它們很難完全去除。
- 傳播與橫向移動:一旦系統受到損害,RAT 就可以促進跨網路的橫向移動,從而感染多個裝置。此功能使攻擊者能夠擴大控制範圍並可能造成廣泛的損害。
- 促進其他攻擊: RAT 可以充當其他類型惡意軟體或進階持續性威脅 (APT) 的閘道。攻擊者可能會利用受感染的系統作為進一步攻擊的發動點,從而使最初的破壞成為漏洞的關鍵點。
- 用於有針對性的攻擊: RAT 經常用於針對特定個人、組織或行業的有針對性的攻擊。它們的定制性和適應性使它們成為具有特定目標的網路犯罪分子的寶貴工具。
總體而言,與 RAT 相關的隱密性、持久性和廣泛功能的結合使它們特別危險,並成為網路安全專業人員和組織的重大關注點。預防、偵測和減輕 RAT 感染的影響需要強大的網路安全措施和持續的警覺。
