NetDooka RAT
تم اكتشاف إطار عمل معقد متعدد المكونات للبرامج الضارة تم تتبعه مثل NetDooka بواسطة خبراء الأمن السيبراني. يتكون الإطار من محمل مخصص وقطارة وسائق حماية و RAT كامل (الوصول عن بعد حصان طروادة). لبدء الإصابة ، اعتمدت الجهات المهددة على خدمة توزيع البرامج الضارة الخاصة بالدفع لكل تثبيت (PPI). حصل المهاجمون على وصول كامل إلى الأجهزة التي تم اختراقها بنجاح. أصدر باحثون أمنيون تفاصيل حول إطار العمل بأكمله ومكوناته.
الحمولة النهائية في العدوى ، هي NetDooka RAT ، وهو تهديد رغم أنه لا يزال قيد التطوير النشط قادر بالفعل على تنفيذ مجموعة واسعة من الإجراءات التدخلية والضارة. يمكنه تنفيذ أوامر shell ، وإطلاق هجمات DDoS (رفض الخدمة الموزعة) ، وجلب ملفات إضافية إلى الجهاز الذي تم اختراقه ، وتنفيذ الملفات ، وتسجيل ضغطات المفاتيح ، وتسهيل عمليات سطح المكتب البعيد.
قبل بدء وظائفه الأساسية ، يقوم RAT بإجراء عدة فحوصات بحثًا عن علامات بيئات المحاكاة الافتراضية والتحليل. كما يبحث أيضًا في ما إذا كان كائن المزامنة المعين موجودًا في النظام. قد يشير العثور على كائن المزامنة (mutex) إلى وجود برنامج ضار يفيد بأن أحد متغيرات NetDooka RAT قد أصاب النظام بالفعل ، بينما سينهي الآخر تنفيذه. يتلقى التهديد أوامر من خادم الأوامر والتحكم (C2 ، C&C) عبر TCP. يتم الاتصال بالخادم عبر بروتوكول مخصص حيث تتبع الحزم المتبادلة تنسيقًا معينًا.
يحذر باحثو الأمن السيبراني من أن القدرات الحالية لـ NetDooka RAT يمكن أن تخضع لتغييرات كبيرة في الإصدارات الأحدث. في الوقت الحالي ، يتم استخدام التهديد في الغالب لإثبات وجود واستمرار قصير المدى على الأجهزة المخترقة لأداء أنشطة جمع البيانات والتجسس. ومع ذلك ، فإن حقيقة أن إطار البرنامج الضار يشتمل على مكون محمل ، يعني أن الجهات المهددة يمكنها تقديم حمولات إضافية لمتابعة أهداف أخرى مهددة أيضًا.
