Эпидемия RAT: исследователи отмечают стремительный рост активности троянов удалённого доступа

В отчёте по кибербезопасности за третий квартал 2023 года, опубликованном недавно HP Wolf Security, отмечается существенное увеличение числа кампаний, использующих троянские программы удалённого доступа (RAT). Эксперты фиксируют рост использования RAT, которые зачастую скрываются в, казалось бы, легитимных файлах Excel и PowerPoint, прикреплённых к электронным письмам.

Согласно отчёту, так называемые «наборы для создания вредоносных программ», стоимостью менее $100, способствуют увеличению числа атак с использованием RAT. В частности, зафиксирован скачок активности вредоносных программ Parallax RAT , которые маскируются под счета-фактуры. Комплекты для их создания доступны всего за $65 в месяц на хакерских форумах.

Исследователи также отмечают, что преступники привлекают к использованию RAT начинающих хакеров, предлагая комплекты вредоносного ПО, такие как XWorm, размещённые на кажущихся законными платформах вроде GitHub. Наблюдается также появление новых китов, включая DiscordRAT 2.0 .

Алекс Голланд, старший аналитик по вредоносному ПО в HP, подчёркивает, что 80% угроз, зарегистрированных их системами за квартал, исходили из электронной почты. Интересный момент — некоторые хакеры нацеливаются на менее опытных коллег, используя RAT в своих кампаниях, подробнее об этом мы писали вчера .

Parallax RAT, который был 46-м по популярности вредоносным ПО во втором квартале 2023 года, в следующем квартале подскочил уже на 7-ое место. Это отчётливо указывает на рост интереса злоумышленников к этому типу вредоносного ПО.

Parallax ранее связывали с различными кампаниями в начале пандемии коронавируса и, по словам исследователя Арнольда Осипова из Morphisec, уже тогда вредонос был способен обходить сложные решения по обнаружению, красть учётные данные и выполнять удалённые команды.

В 2023 году Parallax RAT становятся всё более значимой угрозой, однако не стоит забывать и про другие варианты троянцев удалённого доступа, также пользующиеся немалой популярностью у хакеров.

Так, Remcos RAT , впервые обнаруженный в 2016 году, также весьма успешно использует Microsoft Office как канал распространения. Ещё специалисты HP отметили растущую популярность вредоноса Houdini RAT на базе VBScipt, гуляющего на просторах сети с 2013 года.

Тем не менее, с учётом планов Microsoft по постепенному отказу от VBScript, эти угрозы могут быть недолговечными. Microsoft объявила о том, что VBScript в будущих версиях Windows будет доступен только по запросу и, в конечном итоге, будет полностью удалён из системы.

Однако Алекс Голланд из HP предупреждает, что, несмотря на это положительное изменение для защитников, злоумышленники, вероятно, переключатся на использование других языков программирования, таких как PowerShell и Bash, а также сосредоточат внимание на разработке новых методов обфускации кода для обхода систем безопасности на конечных точках.

Организациям необходимо регулярно обновлять средства защиты, чтобы опережать любые угрозы. Бдительность и проактивный подход к кибербезопасности — залог успеха против большинства хакерских атак.