NetDooka RAT

NetDooka RAT תיאור

מסגרת מתוחכמת מרובת רכיבים של תוכנות זדוניות, המלווה ב-NetDooka, התגלתה על ידי מומחי אבטחת סייבר. המסגרת מורכבת ממטען ייעודי, טפטפת, מנהל התקן הגנה ו-RAT מלא (Remote Access Trojan). כדי ליזום את ההדבקה, שחקני האיום הסתמכו על שירות הפצת תוכנות זדוניות PrivateLoader בתשלום לפי התקנה (PPI). התוקפים קיבלו גישה מלאה למכשירים שנפרצו בהצלחה. פרטים על המסגרת כולה ומרכיביה פורסמו על ידי חוקרי אבטחה.

המטען האחרון בזיהום, הוא NetDooka RAT, איום שלמרות שהוא עדיין בפיתוח פעיל כבר מסוגל לבצע מגוון רחב של פעולות חודרניות ומזיקות. זה יכול לבצע פקודות מעטפת, להפעיל התקפות DDoS (Distributed Denial-of-Service), להביא קבצים נוספים למכשיר הפרוץ, לבצע קבצים, לרשום הקשות מקלדת ולהקל על פעולות שולחן עבודה מרוחק.

לפני תחילת הפונקציות העיקריות שלו, ה-RAT מבצע מספר בדיקות לאיתור סימנים של סביבות וירטואליזציה וניתוח. זה גם נראה אם מוטקס מסוים קיים במערכת. מציאת ה-mutex יאותת לתוכנה הזדונית שגרסה של NetDooka RAT כבר הדביקה את המערכת וגרסה שנייה תפסיק את ביצועה. האיום מקבל פקודות משרת Command-and-Control (C2, C&C) באמצעות TCP. התקשורת עם השרת מתבצעת באמצעות פרוטוקול מותאם אישית שבו החבילות שהוחלפו עוקבות אחר פורמט מסוים.

חוקרי אבטחת סייבר מזהירים כי היכולות הנוכחיות של NetDooka RAT עשויות לעבור שינויים משמעותיים בגרסאות מאוחרות יותר. נכון לעכשיו, האיום משמש בעיקר לביסוס נוכחות והתמדה לטווח קצר במכשירים שנפרצו לביצוע פעולות איסוף נתונים וריגול. עם זאת, העובדה שהמסגרת של תוכנות זדוניות משלבת רכיב מטעין, פירושה ששחקני האיום יכולים לספק מטענים נוספים כדי לרדוף אחרי מטרות מאיימות אחרות.