Tehdit aktörleri, uzaktan erişim truva atı adı verilen bir truva atı ile eğitim, hükümet ve iş hizmetleri sektörlerini hedef alıyor. NetDestek RAT.
VMware Carbon Black araştırmacıları, “NetSupport RAT’ın dağıtım mekanizmaları, hileli güncellemeleri, anlık indirmeleri, kötü amaçlı yazılım yükleyicilerinin (GHOSTPULSE gibi) kullanımını ve çeşitli kimlik avı kampanyalarını içeriyor” dedi. rapor The Hacker News ile paylaşıldı.
Siber güvenlik firması, son birkaç hafta içinde NetSupport RAT ile ilgili en az 15 yeni enfeksiyon tespit ettiğini söyledi.
NetSupport Manager bir şirket olarak yola çıkarken meşru uzaktan yönetim aracı Kötü niyetli aktörler, teknik yardım ve destek için aracı kendi çıkarları doğrultusunda kötüye kullandılar ve sonraki saldırılar için onu bir dayanak noktası olarak kullandılar.
NetSupport RAT genellikle aldatıcı web siteleri ve sahte tarayıcı güncellemeleri aracılığıyla kurbanın bilgisayarına indirilir.
Ağustos 2022’de Sucuri, ele geçirilen WordPress sitelerinin, NetSupport RAT dağıtımına yol açan sahte Cloudflare DDoS koruma sayfalarını görüntülemek için kullanıldığı bir kampanyayı ayrıntılarıyla anlattı.
Sahte web tarayıcısı güncellemelerinin kullanılması, genellikle SocGholish (diğer adıyla FakeUpdates) olarak bilinen, JavaScript tabanlı indirici kötü amaçlı yazılımın dağıtımıyla ilişkilendirilen bir taktiktir; bunun aynı zamanda kod adı verilen bir yükleyici kötü amaçlı yazılımını yaydığı da gözlemlenmiştir. KABARCIK.
Javascript yükü daha sonra uzak bir sunucuya bağlanmak ve kurulum sonrasında bir komut ve kontrol (C2) sunucusuna işaret veren NetSupport RAT içeren bir ZIP arşiv dosyasını almak için PowerShell’i çağırır.
Araştırmacılar, “NetSupport, kurbanın cihazına yüklendikten sonra davranışları izleyebiliyor, dosya aktarabiliyor, bilgisayar ayarlarını değiştirebiliyor ve ağ içindeki diğer cihazlara geçebiliyor” dedi.