NetDooka RAT

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਦੁਆਰਾ NetDooka ਦੇ ਤੌਰ 'ਤੇ ਟਰੈਕ ਕੀਤੇ ਗਏ ਇੱਕ ਵਧੀਆ, ਮਲਟੀ-ਕੰਪੋਨੈਂਟ ਮਾਲਵੇਅਰ ਫਰੇਮਵਰਕ ਦੀ ਖੋਜ ਕੀਤੀ ਗਈ ਹੈ। ਫਰੇਮਵਰਕ ਵਿੱਚ ਇੱਕ ਸਮਰਪਿਤ ਲੋਡਰ, ਡਰਾਪਰ, ਸੁਰੱਖਿਆ ਡਰਾਈਵਰ ਅਤੇ ਇੱਕ ਪੂਰਾ RAT (ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ) ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ। ਲਾਗ ਸ਼ੁਰੂ ਕਰਨ ਲਈ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਪ੍ਰਾਈਵੇਟ ਲੋਡਰ ਪੇ-ਪ੍ਰਤੀ-ਇੰਸਟਾਲ (PPI) ਮਾਲਵੇਅਰ ਵੰਡ ਸੇਵਾ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ। ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਯੰਤਰਾਂ ਤੱਕ ਪੂਰੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਹੋਈ। ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਪੂਰੇ ਢਾਂਚੇ ਅਤੇ ਇਸਦੇ ਭਾਗਾਂ ਬਾਰੇ ਵੇਰਵੇ ਜਾਰੀ ਕੀਤੇ ਗਏ ਸਨ।

ਸੰਕਰਮਣ ਵਿੱਚ ਅੰਤਮ ਪੇਲੋਡ, NetDooka RAT ਹੈ, ਇੱਕ ਖ਼ਤਰਾ ਜੋ ਅਜੇ ਵੀ ਸਰਗਰਮ ਵਿਕਾਸ ਅਧੀਨ ਹੋਣ ਦੇ ਬਾਵਜੂਦ ਪਹਿਲਾਂ ਹੀ ਬਹੁਤ ਸਾਰੀਆਂ ਘੁਸਪੈਠੀਆਂ ਅਤੇ ਨੁਕਸਾਨਦੇਹ ਕਾਰਵਾਈਆਂ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਇਹ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾ ਸਕਦਾ ਹੈ, DDoS (ਡਿਸਟ੍ਰੀਬਿਊਟਿਡ ਡੈਨਾਇਲ-ਆਫ-ਸਰਵਿਸ) ਹਮਲੇ ਸ਼ੁਰੂ ਕਰ ਸਕਦਾ ਹੈ, ਉਲੰਘਣਾ ਕੀਤੀ ਡਿਵਾਈਸ 'ਤੇ ਵਾਧੂ ਫਾਈਲਾਂ ਲਿਆ ਸਕਦਾ ਹੈ, ਫਾਈਲਾਂ ਨੂੰ ਚਲਾ ਸਕਦਾ ਹੈ, ਕੀਸਟ੍ਰੋਕ ਲੌਗ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਓਪਰੇਸ਼ਨਾਂ ਦੀ ਸਹੂਲਤ ਦੇ ਸਕਦਾ ਹੈ।

ਇਸਦੇ ਪ੍ਰਾਇਮਰੀ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ, RAT ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਵਾਤਾਵਰਨ ਦੇ ਸੰਕੇਤਾਂ ਲਈ ਕਈ ਜਾਂਚਾਂ ਕਰਦਾ ਹੈ। ਇਹ ਇਹ ਵੀ ਦੇਖਦਾ ਹੈ ਕਿ ਕੀ ਸਿਸਟਮ ਵਿੱਚ ਇੱਕ ਖਾਸ ਮਿਊਟੇਕਸ ਮੌਜੂਦ ਹੈ। ਮਿਊਟੈਕਸ ਨੂੰ ਲੱਭਣਾ ਮਾਲਵੇਅਰ ਨੂੰ ਸੰਕੇਤ ਦੇਵੇਗਾ ਕਿ ਇੱਕ NetDooka RAT ਵੇਰੀਐਂਟ ਪਹਿਲਾਂ ਹੀ ਸਿਸਟਮ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰ ਚੁੱਕਾ ਹੈ ਅਤੇ ਦੂਜਾ ਇਸਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਖਤਮ ਕਰ ਦੇਵੇਗਾ। ਧਮਕੀ ਨੂੰ TCP ਰਾਹੀਂ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰ ਤੋਂ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਹੁੰਦੀਆਂ ਹਨ। ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਇੱਕ ਕਸਟਮ ਪ੍ਰੋਟੋਕੋਲ ਦੁਆਰਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜਿੱਥੇ ਐਕਸਚੇਂਜ ਕੀਤੇ ਪੈਕੇਟ ਇੱਕ ਖਾਸ ਫਾਰਮੈਟ ਦੀ ਪਾਲਣਾ ਕਰਦੇ ਹਨ।

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਚੇਤਾਵਨੀ ਦਿੱਤੀ ਹੈ ਕਿ NetDooka RAT ਦੀਆਂ ਮੌਜੂਦਾ ਸਮਰੱਥਾਵਾਂ ਬਾਅਦ ਦੇ ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਤਬਦੀਲੀਆਂ ਕਰ ਸਕਦੀਆਂ ਹਨ। ਇਸ ਸਮੇਂ, ਧਮਕੀ ਦੀ ਵਰਤੋਂ ਜ਼ਿਆਦਾਤਰ ਡੇਟਾ-ਇਕੱਠਾ ਕਰਨ ਅਤੇ ਜਾਸੂਸੀ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਕਰਨ ਲਈ ਉਲੰਘਣਾ ਕੀਤੇ ਗਏ ਡਿਵਾਈਸਾਂ 'ਤੇ ਥੋੜ੍ਹੇ ਸਮੇਂ ਦੀ ਮੌਜੂਦਗੀ ਅਤੇ ਨਿਰੰਤਰਤਾ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਹਾਲਾਂਕਿ, ਇਹ ਤੱਥ ਕਿ ਮਾਲਵੇਅਰ ਫਰੇਮ ਇੱਕ ਲੋਡਰ ਕੰਪੋਨੈਂਟ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ, ਦਾ ਮਤਲਬ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਹੋਰ ਧਮਕੀ ਵਾਲੇ ਟੀਚਿਆਂ ਦਾ ਪਿੱਛਾ ਕਰਨ ਲਈ ਵਾਧੂ ਪੇਲੋਡ ਵੀ ਪ੍ਰਦਾਨ ਕਰ ਸਕਦੇ ਹਨ।