针对多个目标部署的 NetSupport RAT
教育、政府和商业服务部门目前正受到恶意行为者使用名为 NetSupport RAT 的远程访问木马的威胁。根据 VMware Carbon Black 研究人员与 The Hacker News 分享的一份报告,该木马的传播方式包括欺骗性更新、偷渡式下载、使用 GHOSTPULSE 等恶意软件加载程序以及各种网络钓鱼活动。
NetSupport RAT 获得超过十几次点击
在过去的几周里,这家网络安全公司已发现至少 15 起与 NetSupport RAT 相关的新感染。 NetSupport Manager 最初被设计为合法的远程管理工具,但已被恶意实体利用,将其变成后续攻击的网关。该木马通常通过欺骗性网站和假冒浏览器更新渗透到受害者的计算机中。
Sucuri 强调了 2022 年 8 月的一次活动,该活动涉及受感染的 WordPress 网站,该网站显示虚假的 Cloudflare DDoS 保护页面,最终导致 NetSupport RAT 的分发。
采用欺诈性网络浏览器更新的策略与 SocGholish(一种基于 JavaScript 的下载器恶意软件)相关的策略一致。据观察,该恶意软件正在传播名为 BLISTER 的加载程序恶意软件。
JavaScript 有效负载触发 PowerShell 与远程服务器建立连接,检索包含 NetSupport RAT 的 ZIP 存档文件。安装后,该木马就会与命令与控制 (C2) 服务器进行通信。研究人员表示,利用受害者设备上的 NetSupport RAT,恶意行为者就能够监控活动、传输文件、更改计算机配置以及传播到网络内的其他设备。