NetDooka RAT

Experti na kybernetickú bezpečnosť objavili sofistikovaný, viaczložkový malvérový rámec sledovaný ako NetDooka. Rámec pozostáva zo špeciálneho nakladača, dropperu, ochranného ovládača a plnohodnotného RAT (Remote Access Trojan). Na iniciovanie infekcie sa aktéri hrozby spoliehali na službu distribúcie škodlivého softvéru PrivateLoader pay-per-install (PPI). Útočníci získali plný prístup k úspešne napadnutým zariadeniam. Podrobnosti o celom rámci a jeho komponentoch zverejnili bezpečnostní výskumníci.

Posledným užitočným zaťažením pri infekcii je NetDooka RAT, hrozba, ktorá, aj keď je stále v aktívnom vývoji, je už schopná vykonávať širokú škálu rušivých a škodlivých akcií. Dokáže spúšťať príkazy shellu, spúšťať útoky DDoS (Distributed Denial-of-Service), načítať ďalšie súbory do narušeného zariadenia, spúšťať súbory, zaznamenávať stlačenia klávesov a uľahčovať operácie vzdialenej pracovnej plochy.

Pred spustením svojich primárnych funkcií vykoná RAT niekoľko kontrol na známky virtualizácie a analytických prostredí. Tiež sa pozerá, či je v systéme prítomný špecifický mutex. Nájdenie mutexu by signalizovalo malvéru, že variant NetDooka RAT už infikoval systém a druhý ukončí jeho vykonávanie. Hrozba prijíma príkazy zo servera Command-and-Control (C2, C&C) cez TCP. Komunikácia so serverom prebieha cez vlastný protokol, kde vymieňané pakety majú určitý formát.

Výskumníci v oblasti kybernetickej bezpečnosti varujú, že súčasné možnosti NetDooka RAT môžu v neskorších verziách prejsť výraznými zmenami. V súčasnosti sa hrozba väčšinou používa na vytvorenie krátkodobej prítomnosti a zotrvania na narušených zariadeniach na vykonávanie zberu dát a špionážnych činností. Avšak skutočnosť, že malvérový rámec obsahuje komponent zavádzača, znamená, že aktéri hrozieb by mohli dodať ďalšie užitočné zaťaženie, aby mohli sledovať aj iné ohrozujúce ciele.