NetDooka RAT
साइबर सुरक्षा विशेषज्ञों द्वारा NetDooka के रूप में ट्रैक किए गए एक परिष्कृत, बहु-घटक मैलवेयर ढांचे की खोज की गई है। ढांचे में एक समर्पित लोडर, ड्रॉपर, सुरक्षा ड्राइवर और एक पूर्ण आरएटी (रिमोट एक्सेस ट्रोजन) शामिल है। संक्रमण शुरू करने के लिए, धमकी देने वाले अभिनेताओं ने PrivateLoader पे-पर-इंस्टॉल (PPI) मैलवेयर वितरण सेवा पर भरोसा किया। हमलावरों को सफलतापूर्वक समझौता किए गए उपकरणों तक पूर्ण पहुंच प्राप्त हुई। सुरक्षा शोधकर्ताओं द्वारा पूरे ढांचे और उसके घटकों के बारे में विवरण जारी किया गया था।
संक्रमण में अंतिम पेलोड, NetDooka RAT है, एक खतरा जो अभी भी सक्रिय विकास के अधीन है, पहले से ही घुसपैठ और हानिकारक कार्यों की एक विस्तृत श्रृंखला करने में सक्षम है। यह शेल कमांड को निष्पादित कर सकता है, DDoS (डिस्ट्रिब्यूटेड डेनियल-ऑफ-सर्विस) हमलों को लॉन्च कर सकता है, क्षतिग्रस्त डिवाइस पर अतिरिक्त फाइलें ला सकता है, फाइलों को निष्पादित कर सकता है, कीस्ट्रोक्स लॉग कर सकता है और दूरस्थ डेस्कटॉप संचालन की सुविधा प्रदान कर सकता है।
अपने प्राथमिक कार्यों को शुरू करने से पहले, आरएटी वर्चुअलाइजेशन और विश्लेषण वातावरण के संकेतों के लिए कई जांच करता है। यह भी देखता है कि सिस्टम में कोई विशिष्ट म्यूटेक्स मौजूद है या नहीं। म्यूटेक्स का पता लगाना मैलवेयर को संकेत देगा कि NetDooka RAT संस्करण पहले ही सिस्टम को संक्रमित कर चुका है और दूसरा इसके निष्पादन को समाप्त कर देगा। यह खतरा TCP के माध्यम से कमांड-एंड-कंट्रोल (C2, C&C) सर्वर से कमांड प्राप्त करता है। सर्वर के साथ संचार एक कस्टम प्रोटोकॉल के माध्यम से किया जाता है जहां आदान-प्रदान किए गए पैकेट एक निश्चित प्रारूप का पालन करते हैं।
साइबर सुरक्षा शोधकर्ताओं ने चेतावनी दी है कि NetDooka RAT की मौजूदा क्षमताओं में बाद के संस्करणों में महत्वपूर्ण बदलाव हो सकते हैं। फिलहाल, डेटा एकत्र करने और जासूसी गतिविधियों को करने के लिए उल्लंघन किए गए उपकरणों पर अल्पकालिक उपस्थिति और दृढ़ता स्थापित करने के लिए खतरे का ज्यादातर उपयोग किया जाता है। हालांकि, तथ्य यह है कि मैलवेयर फ्रेम में लोडर घटक शामिल होता है, इसका मतलब है कि खतरे वाले अभिनेता अन्य खतरनाक लक्ष्यों को भी आगे बढ़ाने के लिए अतिरिक्त पेलोड वितरित कर सकते हैं।
