Esentir Tehdit Müdahale Birimi (TRU), Ocak 2025’ten bu yana Netsupport Uzaktan Erişim Trojan’ı (RAT) içeren olaylarda önemli bir artış olduğunu bildirmiştir.
Başlangıçta meşru bir BT destek aracı olarak tasarlanan bu kötü niyetli yazılım, siber suçlular tarafından kurban sistemleri üzerinde tam kontrol sahibi olmak için silahlandırılmıştır.
Netsupport sıçanından yararlanan saldırganlar ekranları izleyebilir, giriş cihazlarını kontrol edebilir, dosyaları aktarabilir ve kötü amaçlı komutları uzaktan yürütebilir.
Tespit edilmezse, bu faaliyetler fidye yazılımı saldırılarına, veri ihlallerine ve operasyonel aksamalara yükselebilir.
Son kampanyalarda dikkate değer bir eğilim, “ClickFix” başlangıç erişim vektörünün (IAV) kullanımını içerir.
Bu sosyal mühendislik tekniği, kullanıcıları tehlikeye atılan web sitelerinde sahte captcha istemleri aracılığıyla saldırgan tarafından sağlanan PowerShell komutlarını yürütmeye kandırıyor.
Yürütüldükten sonra, bu komutlar Netsupport Rat yükünü indirir ve yükler ve saldırganların kurban sistemleriyle komut ve kontrol (C2) bağlantıları kurmasını sağlar.
Meşru yazılımın silahlandırılması
Netsupport Rat, 1989’dan beri mevcut bir uzaktan yönetim aracı olan Netsupport Manager’ın değiştirilmiş bir sürümüdür.
Orijinal yazılım BT desteği ve sistem yönetimi gibi meşru amaçlar için kullanılırken, özellikleri onu istismar için çekici bir hedef haline getirir.
Tehdit aktörleri, gerçek zamanlı izleme, veri açığa çıkma, anahtarlama ve ek kötü amaçlı yazılım yükleri dağıtma yeteneklerinden yararlanır.
Aracın meşru kökenleri, bazı güvenlik sistemleri tarafından tespit edilmesinden kaçmasına yardımcı olur.
Son kampanyalar, “.png” uzantıları veya diğer aldatıcı adlandırma kuralları ile gizlenmiş URL’lerde Netsupport sıçan yüklerini barındıran saldırganları gördü.
Kurulduktan sonra, kötü amaçlı yazılım kayıt defteri değişiklikleri ve planlanan görevler yoluyla kalıcılık oluşturur. Ayrıca analiz ve tespitten kaçınmak için gizleme teknikleri kullanır.
Azaltma
Devam eden bu tehdide karşı koymak için kuruluşların siber güvenlik savunmalarını güçlendirmeleri tavsiye edilir:
- Uç nokta koruması: Kötü niyetli etkinlikleri algılamak ve engellemek için tüm cihazlarda uç nokta algılama ve yanıt (EDR) çözümlerini dağıtın.
- Kullanıcı Farkındalığı: Çalışanları kimlik avı taktikleri ve ClickFix gibi sosyal mühendislik yöntemleri konusunda eğitmek için düzenli eğitim yapın.
- Erişim Kontrolü: Yetkisiz yazılım kurulumlarını önlemek için kullanıcı izinlerini sınırlayın.
- Sistem sertleştirme: Komut dosyası yazma araçlarını devre dışı bırakın
WScript.exeVeMshta.exeGrup İlkesi Nesneleri (GPO) veya Windows Defender Uygulama Kontrolü (WDAC) aracılığıyla.
Esentire’nin Yönetilen Tespit ve Yanıt (MDR) hizmetleri, Netsupport sıçan faaliyetlerini tespit etmek ve engellemek için önlemler uygulamıştır.
Bunlar, uzlaşma göstergeleri (IOCS) için tehdit avı, küresel tehdit istihbarat beslemeleri yoluyla kötü niyetli IP adreslerinin engellenmesini ve ClickFix tabanlı saldırılar için tespit geliştirmeyi içerir.
Netsupport Rat, meşru araçların kötü niyetli faaliyetler için nasıl yeniden kullanılabileceğini örneklendirir.
Yaygın kullanılabilirliği ve çok yönlülüğü, hem acemi saldırganlar hem de gelişmiş kalıcı tehdit (APT) grupları için tercih edilen bir seçim haline getirir.
Devam eden kampanyalar, bu tür çift kullanımlı teknolojilerin ortaya koyduğu riskleri azaltmak için proaktif güvenlik önlemlerinin önemini vurgulamaktadır.
Siber suçlular sahte tarayıcı güncellemeleri ve kimlik avı planları gibi dağıtım mekanizmalarıyla yenilik yapmaya devam ettikçe, uyanıklık kritik olmaya devam etmektedir.
Kuruluşlar, Netsupport Rat gibi tehditlerin sistemlerinden ödün vermesini tespit etmek, yanıtlamak ve önlemek için çok katmanlı bir güvenlik yaklaşımı benimsemelidir.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free