複数のターゲットに対して導入された NetSupport RAT
教育、政府、ビジネス サービス部門は現在、NetSupport RAT という名前のリモート アクセス トロイの木馬を使用する悪意のある攻撃者による脅威にさらされています。 The Hacker News に共有された VMware Carbon Black の研究者からのレポートによると、このトロイの木馬の配信方法には、欺瞞的なアップデート、ドライブバイ ダウンロード、GHOSTPULSE などのマルウェア ローダーの使用、およびさまざまなフィッシング キャンペーンが含まれます。
NetSupport RAT スコアは 10 ヒット以上
過去数週間で、このサイバーセキュリティ会社は NetSupport RAT に関連する新たな感染を少なくとも 15 件特定しました。 NetSupport Manager はもともと正規のリモート管理ツールとして設計されていましたが、悪意のあるエンティティによって悪用され、後続の攻撃のゲートウェイに変わりました。このトロイの木馬は通常、偽の Web サイトや偽のブラウザのアップデートを通じて被害者のコンピュータに侵入します。
Sucuri は、偽の Cloudflare DDoS 保護ページを表示し、最終的に NetSupport RAT の配布につながった、侵害された WordPress サイトを含む 2022 年 8 月のキャンペーンを強調しました。
Web ブラウザの不正なアップデートを利用する戦略は、JavaScript ベースのダウンローダー マルウェアである SocGholish に関連する戦術と一致しています。このマルウェアは、BLISTER という名前のローダー マルウェアを拡散することが観察されています。
JavaScript ペイロードは PowerShell をトリガーしてリモート サーバーとの接続を確立し、NetSupport RAT を含む ZIP アーカイブ ファイルを取得します。トロイの木馬はインストールされると、コマンド アンド コントロール (C2) サーバーと通信します。研究者らによると、被害者のデバイスに NetSupport RAT が搭載されていると、悪意のある攻撃者はアクティビティの監視、ファイルの転送、コンピュータ構成の変更、ネットワーク内の他のデバイスへの伝播を行うことができるようになります。