NetDooka RAT

ក្របខ័ណ្ឌមេរោគដែលមានសមាសធាតុចម្រុះ និងស្មុគ្រស្មាញដែលត្រូវបានតាមដានជា NetDooka ត្រូវបានរកឃើញដោយអ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិត។ ក្របខណ្ឌមានឧបករណ៍ផ្ទុកពិសេស ឧបករណ៍ទម្លាក់ អ្នកបើកបរការពារ និង RAT ពេញលេញ (Trojan ចូលប្រើពីចម្ងាយ)។ ដើម្បីចាប់ផ្តើមការឆ្លង តួអង្គគំរាមកំហែងពឹងផ្អែកលើសេវាចែកចាយមេរោគ PrivateLoader pay-per-install (PPI) ។ អ្នកវាយប្រហារបានទទួលសិទ្ធិពេញលេញទៅកាន់ឧបករណ៍ដែលត្រូវបានសម្របសម្រួលដោយជោគជ័យ។ ព័ត៌មានលម្អិតអំពីក្របខ័ណ្ឌទាំងមូល និងធាតុផ្សំរបស់វាត្រូវបានចេញផ្សាយដោយអ្នកស្រាវជ្រាវសន្តិសុខ។

បន្ទុកចុងក្រោយនៅក្នុងការឆ្លងគឺ NetDooka RAT ដែលជាការគំរាមកំហែងដែលនៅតែស្ថិតក្រោមការអភិវឌ្ឍន៍យ៉ាងសកម្ម គឺមានសមត្ថភាពអនុវត្តសកម្មភាពឈ្លានពាន និងបង្កគ្រោះថ្នាក់ជាច្រើនរួចទៅហើយ។ វាអាចប្រតិបត្តិពាក្យបញ្ជាសែល បើកការវាយប្រហារ DDoS (Distributed Denial-of-Service) ទាញយកឯកសារបន្ថែមទៅឧបករណ៍ដែលបំពាន ប្រតិបត្តិឯកសារ កត់ត្រាការវាយគ្រាប់ចុច និងសម្រួលដល់ប្រតិបត្តិការកុំព្យូទ័រពីចម្ងាយ។

មុនពេលចាប់ផ្តើមមុខងារចម្បងរបស់វា RAT ធ្វើការត្រួតពិនិត្យជាច្រើនសម្រាប់សញ្ញានៃបរិយាកាសនិម្មិត និងការវិភាគ។ វាក៏មើលទៅប្រសិនបើ mutex ជាក់លាក់មួយមានវត្តមាននៅក្នុងប្រព័ន្ធ។ ការស្វែងរក mutex នឹងផ្តល់សញ្ញាអំពីមេរោគដែលវ៉ារ្យ៉ង់ NetDooka RAT បានឆ្លងប្រព័ន្ធរួចហើយ ហើយទីពីរនឹងបញ្ចប់ការប្រតិបត្តិរបស់វា។ ការគំរាមកំហែងទទួលបានពាក្យបញ្ជាពីម៉ាស៊ីនមេ Command-and-Control (C2, C&C) តាមរយៈ TCP ។ ការប្រាស្រ័យទាក់ទងជាមួយម៉ាស៊ីនមេត្រូវបានអនុវត្តតាមរយៈពិធីការផ្ទាល់ខ្លួន ដែលកញ្ចប់ព័ត៌មានដែលបានផ្លាស់ប្តូរធ្វើតាមទម្រង់ជាក់លាក់មួយ។

អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតព្រមានថាសមត្ថភាពបច្ចុប្បន្នរបស់ NetDooka RAT អាចឆ្លងកាត់ការផ្លាស់ប្តូរសំខាន់ៗនៅក្នុងកំណែក្រោយៗទៀត។ នៅពេលនេះ ការគម្រាមកំហែងនេះភាគច្រើនត្រូវបានប្រើដើម្បីបង្កើតវត្តមានរយៈពេលខ្លី និងការតស៊ូនៅលើឧបករណ៍ដែលបំពាន ដើម្បីអនុវត្តសកម្មភាពប្រមូលទិន្នន័យ និងចារកម្ម។ ទោះជាយ៉ាងណាក៏ដោយ ការពិតដែលថាស៊ុមមេរោគរួមបញ្ចូលសមាសធាតុកម្មវិធីផ្ទុកទិន្នន័យ មានន័យថាអ្នកគំរាមកំហែងអាចផ្តល់បន្ទុកបន្ថែមដើម្បីបន្តគោលដៅគំរាមកំហែងផ្សេងទៀតផងដែរ។