NetDooka RAT

یک چارچوب پیچیده و چند جزئی بدافزار که تحت عنوان NetDooka ردیابی می شود توسط کارشناسان امنیت سایبری کشف شده است. این چارچوب از یک لودر اختصاصی، قطره چکان، درایور محافظ و یک RAT کامل (تروجان دسترسی از راه دور) تشکیل شده است. برای شروع آلودگی، عوامل تهدید به سرویس توزیع بدافزار پرداخت به ازای نصب (PPI) PrivateLoader متکی بودند. مهاجمان به دستگاه‌هایی که با موفقیت در معرض خطر قرار گرفتند دسترسی کامل داشتند. جزئیات مربوط به کل چارچوب و اجزای آن توسط محققان امنیتی منتشر شد.

محموله نهایی در عفونت، NetDooka RAT است، تهدیدی که اگرچه هنوز در حال توسعه فعال است، در حال حاضر قادر به انجام طیف گسترده ای از اقدامات مزاحم و مضر است. می تواند دستورات پوسته را اجرا کند، حملات DDoS (Distributed Denial-of-Service) را راه اندازی کند، فایل های اضافی را به دستگاه نقض شده واکشی کند، فایل ها را اجرا کند، ضربه های کلید را ثبت کند و عملیات دسکتاپ از راه دور را تسهیل کند.

قبل از شروع عملکردهای اولیه خود، RAT چندین بررسی برای نشانه های مجازی سازی و محیط های تجزیه و تحلیل انجام می دهد. همچنین به نظر می رسد که آیا یک mutex خاص در سیستم وجود دارد یا خیر. پیدا کردن mutex به بدافزار نشان می دهد که یک نوع NetDooka RAT قبلاً سیستم را آلوده کرده است و نسخه دوم اجرای آن را خاتمه می دهد. تهدید دستورات را از یک سرور Command-and-Control (C2, C&C) از طریق TCP دریافت می کند. ارتباط با سرور از طریق یک پروتکل سفارشی انجام می شود که در آن بسته های مبادله شده از فرمت خاصی پیروی می کنند.

محققان امنیت سایبری هشدار می‌دهند که قابلیت‌های فعلی NetDooka RAT ممکن است در نسخه‌های بعدی دچار تغییرات قابل‌توجهی شود. در حال حاضر، این تهدید بیشتر برای ایجاد حضور کوتاه مدت و تداوم بر روی دستگاه های نقض شده برای انجام فعالیت های جمع آوری داده و جاسوسی استفاده می شود. با این حال، این واقعیت که قاب بدافزار دارای یک جزء لودر است، به این معنی است که عوامل تهدید می توانند بارهای اضافی را برای دنبال کردن سایر اهداف تهدید کننده نیز تحویل دهند.