NetDooka RAT

Et sofistikert, multi-komponent skadevarerammeverk sporet som NetDooka har blitt oppdaget av cybersikkerhetseksperter. Rammeverket består av en dedikert laster, dropper, beskyttelsesdriver og en fullverdig RAT (Remote Access Trojan). For å starte infeksjonen stolte trusselaktørene på PrivateLoader pay-per-install (PPI) distribusjonstjeneste for skadelig programvare. Angriperne fikk full tilgang til de kompromitterte enhetene. Detaljer om hele rammeverket og dets komponenter ble utgitt av sikkerhetsforskere.

Den endelige nyttelasten i infeksjonen er NetDooka RAT, en trussel som, selv om den fortsatt er under aktiv utvikling, allerede er i stand til å utføre et bredt spekter av påtrengende og skadelige handlinger. Den kan utføre skallkommandoer, starte DDoS-angrep (Distributed Denial-of-Service), hente ytterligere filer til den brutte enheten, kjøre filer, logge tastetrykk og lette operasjoner på eksternt skrivebord.

Før de starter sine primære funksjoner, utfører RAT flere kontroller for tegn på virtualisering og analysemiljøer. Den ser også om en spesifikk mutex er tilstede i systemet. Å finne mutexen vil signalisere skadelig programvare om at en NetDooka RAT-variant allerede har infisert systemet, og en andre vil avslutte kjøringen. Trusselen mottar kommandoer fra en Command-and-Control-server (C2, C&C) via TCP. Kommunikasjon med serveren utføres via en tilpasset protokoll der de utvekslede pakkene følger et bestemt format.

Cybersikkerhetsforskere advarer om at de nåværende egenskapene til NetDooka RAT kan gjennomgå betydelige endringer i senere versjoner. For øyeblikket brukes trusselen for det meste til å etablere kortsiktig tilstedeværelse og utholdenhet på de brutte enhetene for å utføre datainnsamling og spionasjeaktiviteter. Imidlertid betyr det faktum at skadevarerammen inneholder en lasterkomponent at trusselaktørene kan levere ytterligere nyttelast for å forfølge andre truende mål også.