NetDooka RAT

NetDooka로 추적되는 정교한 다중 구성 요소 맬웨어 프레임워크가 사이버 보안 전문가에 의해 발견되었습니다. 프레임워크는 전용 로더, 드로퍼, 보호 드라이버 및 본격적인 RAT(Remote Access Trojan)로 구성됩니다. 공격자는 감염을 시작하기 위해 PrivateLoader PPI(pay-per-install) 악성코드 배포 서비스에 의존했습니다. 공격자는 성공적으로 손상된 장치에 대한 전체 액세스 권한을 받았습니다. 전체 프레임워크와 해당 구성 요소에 대한 세부 정보는 보안 연구원이 공개했습니다.

감염의 최종 페이로드는 NetDooka RAT로, 아직 활발하게 개발되고 있지만 이미 광범위한 침입 및 유해한 작업을 수행할 수 있는 위협입니다. 쉘 명령을 실행하고, DDoS(분산 서비스 거부) 공격을 시작하고, 침해된 장치에 추가 파일을 가져오고, 파일을 실행하고, 키 입력을 기록하고, 원격 데스크톱 작업을 용이하게 할 수 있습니다.

RAT는 주요 기능을 시작하기 전에 가상화 및 분석 환경의 징후에 대해 여러 가지 검사를 수행합니다. 또한 시스템에 특정 뮤텍스가 있는지 확인합니다. 뮤텍스를 찾는 것은 NetDooka RAT 변종이 이미 시스템을 감염시켰고 두 번째 변종이 실행을 종료한다는 맬웨어에 신호를 보냅니다. 위협 요소는 TCP를 통해 명령 및 제어(C2, C&C) 서버로부터 명령을 수신합니다. 서버와의 통신은 교환된 패킷이 특정 형식을 따르는 사용자 지정 프로토콜을 통해 수행됩니다.

사이버 보안 연구원들은 NetDooka RAT의 현재 기능이 이후 버전에서 크게 변경될 수 있다고 경고합니다. 현재 위협은 데이터 수집 및 스파이 활동을 수행하기 위해 침해된 장치에 단기 존재 및 지속성을 설정하는 데 주로 사용됩니다. 그러나 멀웨어 프레임에 로더 구성 요소가 포함되어 있다는 사실은 위협 행위자가 다른 위협적인 목표를 추구하기 위해 추가 페이로드를 전달할 수 있음을 의미합니다.