Tehdit aktörleri, uzaktan erişim truva atı adı verilen bir truva atı ile eğitim, hükümet ve iş hizmetleri sektörlerini hedef alıyor. NetDestek RAT.
VMware Carbon Black araştırmacıları, The Hacker News ile paylaşılan bir raporda, “NetSupport RAT dağıtım mekanizmaları, hileli güncellemeleri, anlık indirmeleri, kötü amaçlı yazılım yükleyicilerinin (GHOSTPULSE gibi) kullanımını ve çeşitli kimlik avı kampanyalarını içeriyor.” dedi.
Siber güvenlik firması, son birkaç hafta içinde NetSupport RAT ile ilgili en az 15 yeni enfeksiyon tespit ettiğini söyledi.
NetSupport Manager, teknik yardım ve destek için meşru bir uzaktan yönetim aracı olarak yola çıkmış olsa da, kötü niyetli aktörler, aracı daha sonraki saldırılar için bir dayanak noktası olarak kullanarak, aracı kendi çıkarları doğrultusunda kötüye kullanmışlardır.
NetSupport RAT genellikle aldatıcı web siteleri ve sahte tarayıcı güncellemeleri aracılığıyla kurbanın bilgisayarına indirilir.
Ağustos 2022’de Sucuri, güvenliği ihlal edilmiş WordPress sitelerinin, NetSupport RAT dağıtımına yol açan sahte Cloudflare DDoS koruma sayfalarını görüntülemek için kullanıldığı bir kampanyayı ayrıntılarıyla anlattı.
Sahte web tarayıcı güncellemelerinin kullanılması, genellikle SocGholish (diğer adıyla FakeUpdates) olarak bilinen, aynı zamanda BLISTER kod adlı bir yükleyici kötü amaçlı yazılımını yaydığı gözlemlenen, JavaScript tabanlı indirici kötü amaçlı yazılımın dağıtımıyla ilişkilendirilen bir taktiktir.
Javascript yükü daha sonra uzak bir sunucuya bağlanmak ve kurulum sırasında bir komut ve kontrol (C2) sunucusuna işaret veren NetSupport RAT içeren bir ZIP arşiv dosyasını almak için PowerShell’i çağırır.
Araştırmacılar, “NetSupport bir kurbanın cihazına yüklendikten sonra davranışı izleyebiliyor, dosya aktarabiliyor, bilgisayar ayarlarını değiştirebiliyor ve ağ içindeki diğer cihazlara geçebiliyor” dedi.