針對多個目標部署的 NetSupport RAT
教育、政府和商業服務部門目前正受到惡意行為者使用名為 NetSupport RAT 的遠端存取木馬的威脅。根據 VMware Carbon Black 研究人員與 The Hacker News 分享的報告,該木馬的傳播方式包括欺騙性更新、偷渡式下載、使用 GHOSTPULSE 等惡意軟體載入程式以及各種網路釣魚活動。
NetSupport RAT 獲得超過十幾次點擊
在過去的幾周里,這家網路安全公司已發現至少 15 起與 NetSupport RAT 相關的新感染。 NetSupport Manager 最初被設計為合法的遠端管理工具,但已被惡意實體利用,將其變成後續攻擊的網關。該木馬通常透過欺騙性網站和假冒瀏覽器更新滲透到受害者的電腦中。
Sucuri 強調了 2022 年 8 月的一次活動,該活動涉及受感染的 WordPress 網站,該網站顯示虛假的 Cloudflare DDoS 保護頁面,最終導致 NetSupport RAT 的分發。
採用詐欺性網頁瀏覽器更新的策略與 SocGholish(一種基於 JavaScript 的下載器惡意軟體)相關的策略一致。據觀察,該惡意軟體正在傳播名為 BLISTER 的載入程式惡意軟體。
JavaScript 有效負載觸發 PowerShell 與遠端伺服器建立連接,擷取包含 NetSupport RAT 的 ZIP 存檔檔案。安裝後,該木馬就會與命令與控制 (C2) 伺服器進行通訊。研究人員表示,利用受害者設備上的 NetSupport RAT,惡意行為者就能夠監控活動、傳輸檔案、更改電腦配置以及傳播到網路內的其他設備。