NetDooka RAT

NetDooka RAT Opis

Strokovnjaki za kibernetsko varnost so odkrili prefinjeno, večkomponentno ogrodje zlonamerne programske opreme, ki se spremlja kot NetDooka. Okvir je sestavljen iz namenskega nakladalnika, dropperja, zaščitnega gonilnika in polnopravnega RAT (trojanski program za oddaljeni dostop). Da bi sprožili okužbo, so se akterji grožnje zanašali na storitev distribucije zlonamerne programske opreme PrivateLoader pay-per-install (PPI). Napadalci so dobili popoln dostop do uspešno ogroženih naprav. Podrobnosti o celotnem okviru in njegovih komponentah so objavili varnostni raziskovalci.

Končna korist pri okužbi je NetDooka RAT, grožnja, ki je, čeprav je še v aktivnem razvoju, že sposobna izvajati širok spekter vsiljivih in škodljivih dejanj. Lahko izvaja ukaze lupine, sproži napade DDoS (Distributed Denial-of-Service), prinese dodatne datoteke v poškodovano napravo, izvaja datoteke, beleži pritiske tipk in olajša operacije na oddaljenem namizju.

Pred zagonom svojih primarnih funkcij RAT izvede več preverjanj glede znakov virtualizacijskih in analiznih okolij. Prav tako je videti, ali je v sistemu prisoten določen mutex. Če bi našli mutex, bi zlonamerna programska oprema signalizirala, da je različica NetDooka RAT že okužila sistem, druga pa bo končala njeno izvajanje. Grožnja prejema ukaze od strežnika za upravljanje in nadzor (C2, C&C) prek TCP. Komunikacija s strežnikom poteka preko prilagojenega protokola, kjer izmenjani paketi sledijo določenemu formatu.

Raziskovalci kibernetske varnosti opozarjajo, da bi se lahko trenutne zmogljivosti NetDooka RAT v poznejših različicah bistveno spremenile. Trenutno se grožnja večinoma uporablja za ugotavljanje kratkoročne prisotnosti in vztrajnosti na vlomljenih napravah za izvajanje dejavnosti zbiranja podatkov in vohunjenja. Vendar dejstvo, da okvir zlonamerne programske opreme vključuje komponento za nalaganje, pomeni, da bi akterji grožnje lahko oddali dodatne koristne obremenitve za zasledovanje drugih nevarnih ciljev.