NetDooka RAT

เฟรมเวิร์กมัลแวร์ที่มีหลายองค์ประกอบที่ซับซ้อนซึ่งติดตามโดย NetDooka ถูกค้นพบโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ เฟรมเวิร์กประกอบด้วยตัวโหลดเฉพาะ ดรอปเปอร์ ไดรเวอร์ป้องกัน และ RAT (โทรจันการเข้าถึงระยะไกลระยะไกล) เต็มรูปแบบ เพื่อเริ่มต้นการติดไวรัส ผู้คุกคามอาศัยบริการกระจายมัลแวร์แบบจ่ายต่อการติดตั้ง (PPI) ของ PrivateLoader ผู้โจมตีได้รับสิทธิ์เข้าถึงอุปกรณ์ที่ถูกบุกรุกอย่างเต็มรูปแบบ รายละเอียดเกี่ยวกับกรอบงานทั้งหมดและส่วนประกอบต่าง ๆ เผยแพร่โดยนักวิจัยด้านความปลอดภัย

เพย์โหลดขั้นสุดท้ายในการติดเชื้อคือ NetDooka RAT ซึ่งเป็นภัยคุกคามที่แม้ว่าจะยังอยู่ภายใต้การพัฒนาอย่างแข็งขันอยู่แล้ว ก็สามารถดำเนินการกระทำการล่วงล้ำและเป็นอันตรายได้หลากหลาย มันสามารถรันคำสั่งเชลล์ เปิดการโจมตี DDoS (Distributed Denial-of-Service) ดึงไฟล์เพิ่มเติมไปยังอุปกรณ์ที่ถูกละเมิด รันไฟล์ บันทึกการกดแป้นพิมพ์ และอำนวยความสะดวกในการใช้งานเดสก์ท็อประยะไกล

ก่อนที่จะเริ่มฟังก์ชันหลัก RAT จะทำการตรวจสอบสัญญาณของสภาพแวดล้อมเสมือนจริงและการวิเคราะห์หลายครั้ง นอกจากนี้ยังตรวจสอบว่ามี mutex เฉพาะอยู่ในระบบหรือไม่ การค้นหา mutex จะส่งสัญญาณมัลแวร์ว่าตัวแปร NetDooka RAT ได้ติดไวรัสระบบแล้ว และตัวที่สองจะยุติการดำเนินการ ภัยคุกคามได้รับคำสั่งจากเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ผ่าน TCP การสื่อสารกับเซิร์ฟเวอร์ดำเนินการผ่านโปรโตคอลที่กำหนดเองโดยที่แพ็คเก็ตที่แลกเปลี่ยนมีรูปแบบที่แน่นอน

นักวิจัยด้านความปลอดภัยทางไซเบอร์เตือนว่าความสามารถในปัจจุบันของ NetDooka RAT อาจได้รับการเปลี่ยนแปลงที่สำคัญในเวอร์ชันที่ใหม่กว่า ในขณะนี้ ภัยคุกคามส่วนใหญ่จะใช้เพื่อสร้างสถานะระยะสั้นและการคงอยู่ของอุปกรณ์ที่ถูกเจาะเพื่อดำเนินการรวบรวมข้อมูลและทำกิจกรรมจารกรรม อย่างไรก็ตาม ความจริงที่ว่าเฟรมของมัลแวร์รวมส่วนประกอบตัวโหลดไว้ หมายความว่าผู้คุกคามสามารถส่งเพย์โหลดเพิ่มเติมเพื่อไล่ตามเป้าหมายที่คุกคามอื่นๆ ได้เช่นกัน