NetDooka RAT

NetDooka RAT Leírás

Kiberbiztonsági szakértők fedeztek fel egy NetDooka néven nyomon követett, kifinomult, többkomponensű malware keretrendszert. A keretrendszer egy dedikált betöltőből, dropperből, védelmi illesztőprogramból és egy teljes értékű RAT-ból (Remote Access Trojan) áll. A fertőzés megindításához a fenyegetés szereplői a PrivateLoader fizetésenkénti telepítésenkénti (PPI) kártevő-terjesztési szolgáltatásra támaszkodtak. A támadók teljes hozzáférést kaptak a sikeresen feltört eszközökhöz. A teljes keretrendszerről és annak összetevőiről a biztonsági kutatók adtak ki részleteket.

A fertőzésben a végső hasznos teher a NetDooka RAT, egy olyan fenyegetés, amely még mindig aktív fejlesztés alatt áll, de már képes számos tolakodó és káros művelet végrehajtására. Shell parancsokat hajthat végre, DDoS (Distributed Denial-of-Service) támadásokat indíthat, további fájlokat tölthet le a feltört eszközre, végrehajthat fájlokat, naplózhatja a billentyűleütéseket és megkönnyítheti a távoli asztali műveleteket.

Elsődleges funkcióinak megkezdése előtt a RAT számos ellenőrzést végez a virtualizációs és elemzési környezetek jelei után. Azt is megvizsgálja, hogy van-e egy adott mutex a rendszerben. A mutex megtalálása azt jelezné a rosszindulatú programnak, hogy a NetDooka RAT egyik változata már megfertőzte a rendszert, és egy második leállítja a végrehajtását. A fenyegetés parancsokat kap egy Command-and-Control (C2, C&C) szervertől TCP-n keresztül. A szerverrel való kommunikáció egyéni protokollon keresztül történik, ahol a kicserélt csomagok egy bizonyos formátumot követnek.

A kiberbiztonsági kutatók arra figyelmeztetnek, hogy a NetDooka RAT jelenlegi képességei jelentős változásokon eshetnek át a későbbi verziókban. Jelenleg a fenyegetést leginkább arra használják, hogy rövid távú jelenlétet és kitartást biztosítsanak a feltört eszközökön adatgyűjtési és kémtevékenységek végzésére. Azonban az a tény, hogy a rosszindulatú programkeret betöltő komponenst tartalmaz, azt jelenti, hogy a fenyegetés szereplői további hasznos terheket szállíthatnak más fenyegető célok elérése érdekében.