2023年中盤に出現した GrayCharlie グループは、サイバー犯罪組織として WordPress サイトを積極的に侵害し、NetSupport RAT(リモートアクセストロージャン)を配布して機密データを盗んでいます。
この脅威アクターの手法は高度で、訪問者をだまして悪意のあるペイロードをダウンロードさせるために、偽のブラウザ更新プロンプトや ClickFix ポップアップを利用することが多くあります。
これらの攻撃には Stealer や SectopRAT などのマルウェア配備が含まれており、最終的な目的は情報を盗んで金銭的利益を得ることです。
GrayCharlie は侵害された WordPress サイトに JavaScript リンクを注入します。ユーザーがこれらのサイトにアクセスすると、偽のブラウザ更新ページまたは ClickFix ポップアップにリダイレクトされ、どちらも悪意のあるソフトウェアをダウンロードするよう促します。
このソフトウェアは NetSupport RAT をインストールします。これにより攻撃者は被害者のシステムへの完全なアクセスを獲得し、活動を監視し、認証情報を取得し、感染したマシンを制御することさえできます。
Insikt Group は GrayCharlie の活動を追跡し、このグループに関連する多くのインフラストラクチャを特定しており、その多くは MivoCloud と HZ Hosting Ltd によってホストされています。
これらのサイトは、他の侵害されたインフラストラクチャとともに NetSupport RAT の コマンド・アンド・コントロール(C2) サーバーとして機能しています。このグループはこれらのシステムを使用して、侵害された Web サイトに悪意のあるペイロードを配布するステージングインフラストラクチャも実行しています。
このキャンペーンの最も懸念される側面の 1 つは、MFA(多要素認証)バイパスです。
GrayCharlie は実際の Web ページを使用しているため、ユーザーは本物のログインフォームに認証情報を入力するようだまされ、MFA 保護をバイパスされます。
GrayCharlie は NetSupport RAT を配備するための 2 つの主要な攻撃チェーンを使用していることが観察されています。
マルウェアがインストールされると、レジストリ キーを設定して永続性を確立し、RAT がシステムの起動時に毎回実行されるようにします。
攻撃者は次に C2 サーバーとの接続を確立し、システムをリモートで制御し、活動を監視し、データを流出させることができます。
GrayCharlie の攻撃から身を守るために、組織は NetSupport RAT および関連マルウェアに関連する既知の IP アドレスとドメインをブロックする必要があります。
さらに、メール フィルタリングと疑わしいリンクに対する警戒心の向上は、これらの攻撃を防ぐための重要な戦略です。組織はまた、ユーザーに偽の更新と疑わしいポップアップの危険性について教育する必要があります。
翻訳元: https://cyberpress.org/graycharlie-spreads-netsupport-rat/