NetDooka RAT

NetDooka RAT Aprašymas

Kibernetinio saugumo ekspertai aptiko sudėtingą, kelių komponentų kenkėjiškų programų sistemą, stebimą kaip NetDooka. Sistemą sudaro specialus krautuvas, lašintuvas, apsaugos tvarkyklė ir visavertis RAT (nuotolinės prieigos Trojos arklys). Norėdami inicijuoti užkrėtimą, grėsmės veikėjai rėmėsi kenkėjiškų programų platinimo paslauga „PrivateLoader pay-per-install“ (PPI). Užpuolikai gavo visišką prieigą prie sėkmingai pažeistų įrenginių. Išsamią informaciją apie visą sistemą ir jos komponentus paskelbė saugumo tyrinėtojai.

Galutinė naudingoji infekcijos apkrova yra NetDooka RAT, grėsmė, kuri, nors ir vis dar aktyviai vystoma, jau gali atlikti daugybę įkyrių ir žalingų veiksmų. Jis gali vykdyti apvalkalo komandas, paleisti DDoS (Distributed Denial-of-Service) atakas, gauti papildomų failų į pažeistą įrenginį, vykdyti failus, registruoti klavišų paspaudimus ir palengvinti nuotolinio darbalaukio operacijas.

Prieš pradėdamas savo pagrindines funkcijas, RAT atlieka keletą patikrinimų, ar nėra virtualizacijos ir analizės aplinkos požymių. Taip pat žiūrima, ar sistemoje yra konkretus mutex. Radus mutex, kenkėjiška programa signalizuotų, kad NetDooka RAT variantas jau užkrėtė sistemą, o antrasis nutrauks jos vykdymą. Grėsmė gauna komandas iš Command-and-Control (C2, C&C) serverio per TCP. Ryšys su serveriu vykdomas naudojant pasirinktinį protokolą, kuriame keičiami paketai atitinka tam tikrą formatą.

Kibernetinio saugumo tyrinėtojai perspėja, kad dabartinės NetDooka RAT galimybės gali būti reikšmingai pakeistos vėlesnėse versijose. Šiuo metu grėsmė dažniausiai naudojama siekiant nustatyti trumpalaikį buvimą ir atkaklumą pažeistuose įrenginiuose, siekiant atlikti duomenų rinkimo ir šnipinėjimo veiklą. Tačiau tai, kad kenkėjiškų programų rėmelyje yra įkroviklio komponentas, reiškia, kad grėsmės veikėjai gali pateikti papildomų naudingų krovinių, kad galėtų siekti ir kitų grėsmingų tikslų.