NetDooka RAT

NetDooka RAT Περιγραφή

Ένα εξελιγμένο πλαίσιο κακόβουλου λογισμικού πολλαπλών συστατικών που παρακολουθείται ως NetDooka ανακαλύφθηκε από ειδικούς στον τομέα της ασφάλειας στον κυβερνοχώρο. Το πλαίσιο αποτελείται από έναν αποκλειστικό loader, dropper, πρόγραμμα οδήγησης προστασίας και ένα πλήρες RAT (Remote Access Trojan). Για την έναρξη της μόλυνσης, οι φορείς απειλών βασίστηκαν στην υπηρεσία διανομής κακόβουλου λογισμικού με πληρωμή ανά εγκατάσταση (PPI) PrivateLoader. Οι εισβολείς έλαβαν πλήρη πρόσβαση στις επιτυχώς παραβιασμένες συσκευές. Λεπτομέρειες για ολόκληρο το πλαίσιο και τα στοιχεία του κυκλοφόρησαν από ερευνητές ασφαλείας.

Το τελικό ωφέλιμο φορτίο στη μόλυνση είναι το NetDooka RAT, μια απειλή που, αν και βρίσκεται ακόμη υπό ενεργό ανάπτυξη, είναι ήδη ικανή να εκτελέσει ένα ευρύ φάσμα παρεμβατικών και επιβλαβών ενεργειών. Μπορεί να εκτελέσει εντολές φλοιού, να εκκινήσει επιθέσεις DDoS (Distributed Denial-of-Service), να φέρει πρόσθετα αρχεία στη συσκευή που έχει παραβιαστεί, να εκτελεί αρχεία, να καταγράφει πληκτρολογήσεις και να διευκολύνει λειτουργίες απομακρυσμένης επιφάνειας εργασίας.

Πριν ξεκινήσει τις κύριες λειτουργίες του, το RAT εκτελεί αρκετούς ελέγχους για ενδείξεις περιβαλλόντων εικονικοποίησης και ανάλυσης. Φαίνεται επίσης εάν υπάρχει ένα συγκεκριμένο mutex στο σύστημα. Η εύρεση του mutex θα σήμαινε στο κακόβουλο λογισμικό ότι μια παραλλαγή NetDooka RAT έχει ήδη μολύνει το σύστημα και μια δεύτερη θα τερματίσει την εκτέλεσή του. Η απειλή λαμβάνει εντολές από έναν διακομιστή Command-and-Control (C2, C&C) μέσω TCP. Η επικοινωνία με τον διακομιστή πραγματοποιείται μέσω ενός προσαρμοσμένου πρωτοκόλλου όπου τα πακέτα που ανταλλάσσονται ακολουθούν μια συγκεκριμένη μορφή.

Οι ερευνητές κυβερνοασφάλειας προειδοποιούν ότι οι τρέχουσες δυνατότητες του NetDooka RAT θα μπορούσαν να υποστούν σημαντικές αλλαγές σε μεταγενέστερες εκδόσεις. Προς το παρόν, η απειλή χρησιμοποιείται ως επί το πλείστον για τη δημιουργία βραχυπρόθεσμης παρουσίας και επιμονής στις συσκευές που έχουν παραβιαστεί για την εκτέλεση δραστηριοτήτων συλλογής δεδομένων και κατασκοπείας. Ωστόσο, το γεγονός ότι το πλαίσιο κακόβουλου λογισμικού ενσωματώνει ένα στοιχείο φόρτωσης, σημαίνει ότι οι παράγοντες της απειλής θα μπορούσαν να παραδώσουν επιπλέον ωφέλιμα φορτία για την επιδίωξη και άλλων απειλητικών στόχων.