NetDooka RAT

Kyberturvallisuusasiantuntijat ovat löytäneet kehittyneen, monikomponenttisen haittaohjelmakehyksen, jota seurataan nimellä NetDooka. Kehys koostuu erillisestä kuormaajasta, dropperista, suoja-ohjaimesta ja täysimittaisesta RAT:sta (Remote Access Trojan). Tartunnan aloittamiseksi uhkatekijät turvautuivat PrivateLoader pay-per-install (PPI) -haittaohjelmien jakelupalveluun. Hyökkääjät saivat täyden pääsyn onnistuneesti vaarantuneisiin laitteisiin. Tietoturvatutkijat julkaisivat tiedot koko viitekehyksestä ja sen osista.

Infektion viimeinen hyötykuorma on NetDooka RAT, uhka, joka on vielä aktiivisessa kehitysvaiheessa ja pystyy jo suorittamaan monenlaisia häiritseviä ja haitallisia toimia. Se voi suorittaa komentotulkkikomentoja, käynnistää DDoS-hyökkäyksiä (Distributed Denial-of-Service), hakea lisää tiedostoja rikotun laitteen laitteeseen, suorittaa tiedostoja, kirjata näppäinpainalluksia ja helpottaa etätyöpöytätoimintoja.

Ennen ensisijaisten toimintojensa aloittamista RAT suorittaa useita tarkastuksia virtualisointi- ja analyysiympäristöjen merkkien varalta. Se myös näyttää, onko järjestelmässä tietty mutex. Muteksin löytäminen merkitsisi haittaohjelmalle, että NetDooka RAT -variantti on jo saastuttanut järjestelmän ja toinen lopettaa sen suorittamisen. Uhka saa komentoja Command-and-Control (C2, C&C) palvelimelta TCP:n kautta. Viestintä palvelimen kanssa tapahtuu mukautetun protokollan kautta, jossa vaihdetut paketit noudattavat tiettyä muotoa.

Kyberturvallisuustutkijat varoittavat, että NetDooka RAT:n nykyiset ominaisuudet voivat muuttua merkittävästi myöhemmissä versioissa. Tällä hetkellä uhkaa käytetään enimmäkseen lyhytaikaisen läsnäolon ja pysyvyyden luomiseen rikotun laitteissa tiedonkeruu- ja vakoilutoimintojen suorittamiseksi. Kuitenkin se, että haittaohjelmakehys sisältää latauskomponentin, tarkoittaa, että uhkatoimijat voivat toimittaa lisähyötykuormia myös muiden uhkaavien tavoitteiden saavuttamiseksi.