Siber Muhbir

VMware Carbon Black araştırmacıları, paylaşılan bir raporda, "NetSupport RAT için dağıtım mekanizmaları, hileli güncellemeleri, arabadan indirmeleri, kötü amaçlı yazılım yükleyicilerinin (GHOSTPULSE gibi) kullanımını ve çeşitli kimlik avı kampanyalarını kapsıyor" dedi.

Siber güvenlik firması, son birkaç hafta içinde NetSupport RAT ile ilgili en az 15 yeni enfeksiyon tespit ettiğini söyledi.

NetSupport Manager teknik yardım ve destek için meşru bir uzaktan yönetim aracı olarak başlamış olsa da, kötü niyetli aktörler aracı kendi avantajlarına kötüye kullandılar ve sonraki saldırılar için bir sahil başı olarak kullandılar.

NetSupport RAT genellikle aldatıcı web siteleri ve sahte tarayıcı güncellemeleri aracılığıyla kurbanın bilgisayarına indirilir.

Ağustos 2022'de Sucuri, güvenliği ihlal edilmiş WordPress sitelerinin, NetSupport RAT'ın dağıtımına yol açan sahte Cloudflare DDoS koruma sayfalarını görüntülemek için kullanıldığı bir kampanyayı detaylandırdı.

Sahte web tarayıcısı güncellemelerinin kullanımı, genellikle SocGholish (diğer adıyla FakeUpdates) olarak bilinen ve BLISTER kod adlı bir yükleyici kötü amaçlı yazılımın yayıldığı gözlemlenen JavaScript tabanlı bir indirici kötü amaçlı yazılımın dağıtımıyla ilişkilendirilen bir taktiktir.

Javascript yükü daha sonra uzak bir sunucuya bağlanmak ve kurulumdan sonra bir komut ve kontrol (C2) sunucusuna işaret eden NetSupport RAT içeren bir ZIP arşiv dosyasını almak için PowerShell'i çağırır.

Araştırmacılar, "Bir kurbanın cihazına yüklendikten sonra, NetSupport davranışı izleyebilir, dosyaları aktarabilir, bilgisayar ayarlarını değiştirebilir ve ağdaki diğer cihazlara geçebilir" dedi.