NetDooka RAT

NetDooka RAT Apraksts

Kiberdrošības eksperti ir atklājuši izsmalcinātu, daudzkomponentu ļaunprātīgas programmatūras sistēmu, kas izsekota kā NetDooka. Ietvars sastāv no speciāla iekrāvēja, pilinātāja, aizsardzības draivera un pilnvērtīga RAT (Remote Access Trojan). Lai sāktu inficēšanos, draudu dalībnieki paļāvās uz PrivateLoader maksas par instalāciju (PPI) ļaunprātīgas programmatūras izplatīšanas pakalpojumu. Uzbrucēji saņēma pilnu piekļuvi veiksmīgi uzlauztajām ierīcēm. Sīkāku informāciju par visu sistēmu un tā komponentiem publicēja drošības pētnieki.

Pēdējā infekcijas slodze ir NetDooka RAT — draudi, kas, lai gan joprojām tiek aktīvi izstrādāti, jau spēj veikt plašu uzmācīgu un kaitīgu darbību klāstu. Tas var izpildīt čaulas komandas, palaist DDoS (Distributed Denial-of-Service) uzbrukumus, ienest papildu failus uz bojāto ierīci, izpildīt failus, reģistrēt taustiņsitienus un atvieglot attālās darbvirsmas darbības.

Pirms savu primāro funkciju sākšanas RAT veic vairākas virtualizācijas un analīzes vides pazīmju pārbaudes. Tas arī pārbauda, vai sistēmā ir noteikts mutex. Mutex atrašana ļaunprogrammatūrai signalizētu, ka NetDooka RAT variants jau ir inficējis sistēmu un otrs pārtrauks tās izpildi. Draudi saņem komandas no Command-and-Control (C2, C&C) servera, izmantojot TCP. Saziņa ar serveri tiek veikta, izmantojot pielāgotu protokolu, kurā apmainītās paketes atbilst noteiktam formātam.

Kiberdrošības pētnieki brīdina, ka pašreizējās NetDooka RAT iespējas vēlākās versijās var tikt būtiski mainītas. Šobrīd draudi galvenokārt tiek izmantoti, lai konstatētu īslaicīgu klātbūtni un noturību uzlauztajās ierīcēs, lai veiktu datu vākšanas un spiegošanas darbības. Tomēr fakts, ka ļaunprātīgas programmatūras ietvarā ir iekļauts ielādes komponents, nozīmē, ka apdraudējuma dalībnieki var nodrošināt papildu kravas, lai sasniegtu arī citus apdraudošus mērķus.