NetDooka RAT

Küberturbeeksperdid on avastanud keeruka mitmekomponendilise pahavararaamistiku, mida jälgitakse NetDooka nime all. Raamistik koosneb spetsiaalsest laadijast, tilgutist, kaitsedraiverist ja täieõiguslikust RAT-ist (Remote Access Trojan). Nakatumise algatamiseks toetusid ohutegijad pahavara levitamisteenusele PrivateLoader, tasulise installimise eest (PPI). Ründajad said täieliku juurdepääsu edukalt ohustatud seadmetele. Turvauurijad avaldasid üksikasjad kogu raamistiku ja selle komponentide kohta.

Nakatumise lõplikuks kasulikuks koormuseks on NetDooka RAT – oht, mis on veel aktiivses arenduses, on juba võimeline sooritama mitmesuguseid pealetükkivaid ja kahjulikke toiminguid. See võib täita shellikäske, käivitada DDoS-i (Distributed Denial-of-Service) rünnakuid, tuua rikutud seadmesse lisafaile, käivitada faile, logida klahvivajutusi ja hõlbustada kaugtöölaua toiminguid.

Enne põhifunktsioonide käivitamist kontrollib RAT mitmeid virtualiseerimis- ja analüüsikeskkondade märke. Samuti uuritakse, kas süsteemis on konkreetne mutex. Mutexi leidmine annaks pahavarale signaali, et NetDooka RAT variant on juba süsteemi nakatanud ja teine variant lõpetab selle täitmise. Oht saab käske Command-and-Control (C2, C&C) serverist TCP kaudu. Side serveriga toimub kohandatud protokolli kaudu, kus vahetatavad paketid järgivad teatud vormingut.

Küberturbeteadlased hoiatavad, et NetDooka RATi praegused võimalused võivad hilisemates versioonides oluliselt muutuda. Hetkel kasutatakse ähvardust enamasti rikutud seadmetes lühiajalise kohaloleku ja püsivuse tuvastamiseks andmete kogumise ja spionaažitegevuse läbiviimiseks. Kuid tõsiasi, et pahavara raam sisaldab laadimiskomponenti, tähendab, et ohus osalejad võivad pakkuda lisakoormust ka muude ähvardavate eesmärkide saavutamiseks.