NetDooka RAT

Stručnjaci za kibernetičku sigurnost otkrili su sofisticirani, višekomponentni okvir zlonamjernog softvera koji se prati kao NetDooka. Okvir se sastoji od namjenskog punjača, droppera, zaštitnog drajvera i punopravnog RAT-a (Trojan za daljinski pristup). Kako bi pokrenuli zarazu, akteri prijetnje oslanjali su se na uslugu distribucije zlonamjernog softvera PrivateLoader s plaćanjem po instalaciji (PPI). Napadači su dobili puni pristup uspješno kompromitiranim uređajima. Pojedinosti o cijelom okviru i njegovim komponentama objavili su sigurnosni istraživači.

Konačni teret u infekciji je NetDooka RAT, prijetnja koja je, iako je još u aktivnom razvoju, već sposobna izvoditi širok raspon nametljivih i štetnih radnji. Može izvršavati naredbe ljuske, pokretati DDoS (Distributed Denial-of-Service) napade, dohvaćati dodatne datoteke na probijeni uređaj, izvršavati datoteke, zapisivati pritiske tipki i olakšati operacije na udaljenoj radnoj površini.

Prije pokretanja svojih primarnih funkcija, RAT obavlja nekoliko provjera za znakove virtualizacije i okruženja za analizu. Također izgleda je li određeni mutex prisutan u sustavu. Pronalaženje mutexa signaliziralo bi zlonamjernom softveru da je NetDooka RAT varijanta već zarazila sustav, a druga će prekinuti njegovo izvršavanje. Prijetnja prima naredbe od Command-and-Control (C2, C&C) poslužitelja putem TCP-a. Komunikacija s poslužiteljem odvija se putem prilagođenog protokola gdje razmijenjeni paketi slijede određeni format.

Istraživači kibernetičke sigurnosti upozoravaju da bi trenutne mogućnosti NetDooka RAT-a mogle doživjeti značajne promjene u kasnijim verzijama. U ovom trenutku prijetnja se uglavnom koristi za utvrđivanje kratkoročne prisutnosti i postojanosti na provaljenim uređajima za obavljanje aktivnosti prikupljanja podataka i špijunaže. Međutim, činjenica da okvir zlonamjernog softvera uključuje komponentu učitavanja, znači da bi akteri prijetnje mogli isporučiti dodatni teret kako bi ostvarili i druge prijeteće ciljeve.