NetDooka RAT

NetDooka RAT Beschrijving

Een geavanceerd, uit meerdere componenten bestaand malware-framework dat wordt gevolgd als NetDooka, is ontdekt door cyberbeveiligingsexperts. Het framework bestaat uit een speciale loader, dropper, beschermingsstuurprogramma en een volwaardige RAT (Remote Access Trojan). Om de infectie te starten, vertrouwden de bedreigingsactoren op de PrivateLoader pay-per-install (PPI) malwaredistributieservice. De aanvallers kregen volledige toegang tot de succesvol gecompromitteerde apparaten. Details over het hele framework en de componenten ervan zijn vrijgegeven door beveiligingsonderzoekers.

De laatste lading in de infectie is de NetDooka RAT, een bedreiging die, hoewel nog steeds in actieve ontwikkeling, al in staat is om een breed scala aan opdringerige en schadelijke acties uit te voeren. Het kan shell-commando's uitvoeren, DDoS-aanvallen (Distributed Denial-of-Service) starten, extra bestanden ophalen naar het gehackte apparaat, bestanden uitvoeren, toetsaanslagen registreren en remote desktop-bewerkingen vergemakkelijken.

Voordat de RAT met zijn primaire functies begint, voert hij verschillende controles uit op tekenen van virtualisatie- en analyseomgevingen. Er wordt ook gekeken of er een specifieke mutex in het systeem aanwezig is. Het vinden van de mutex zou de malware signaleren dat een NetDooka RAT-variant het systeem al heeft geïnfecteerd en een tweede zal de uitvoering ervan beëindigen. De dreiging ontvangt via TCP opdrachten van een Command-and-Control-server (C2, C&C). De communicatie met de server verloopt via een aangepast protocol waarbij de uitgewisselde pakketten een bepaald formaat volgen.

Cybersecurity-onderzoekers waarschuwen dat de huidige mogelijkheden van de NetDooka RAT in latere versies aanzienlijke veranderingen kunnen ondergaan. Op dit moment wordt de dreiging vooral gebruikt om op korte termijn aanwezigheid en persistentie op de geschonden apparaten vast te stellen om gegevens te verzamelen en spionageactiviteiten uit te voeren. Het feit dat het malwareframe een loadercomponent bevat, betekent echter dat de dreigingactoren extra payloads kunnen leveren om ook andere bedreigende doelen na te streven.