NetDooka RAT

NetDooka RAT Description

Ang isang sopistikado, multi-component na malware framework na sinusubaybayan bilang NetDooka ay natuklasan ng mga eksperto sa cybersecurity. Ang balangkas ay binubuo ng isang dedikadong loader, dropper, driver ng proteksyon at isang ganap na RAT (Remote Access Trojan). Upang simulan ang impeksyon, umasa ang mga banta sa serbisyo ng PrivateLoader pay-per-install (PPI) malware distribution. Nakatanggap ang mga umaatake ng ganap na access sa mga matagumpay na nakompromisong device. Ang mga detalye tungkol sa buong balangkas at mga bahagi nito ay inilabas ng mga mananaliksik sa seguridad.

Ang huling kargamento sa impeksyon, ay ang NetDooka RAT, isang banta na kahit na nasa ilalim pa ng aktibong pag-unlad ay may kakayahang magsagawa ng malawak na hanay ng mapanghimasok at nakakapinsalang mga aksyon. Maaari itong magsagawa ng mga shell command, maglunsad ng mga pag-atake ng DDoS (Distributed Denial-of-Service), kumuha ng mga karagdagang file sa nalabag na device, magsagawa ng mga file, mag-log keystroke at mapadali ang mga remote na operasyon sa desktop.

Bago simulan ang mga pangunahing function nito, ang RAT ay nagsasagawa ng ilang mga pagsusuri para sa mga senyales ng virtualization at analysis environment. Tinitingnan din nito kung mayroong isang partikular na mutex sa system. Ang paghahanap sa mutex ay magsenyas sa malware na ang isang variant ng NetDooka RAT ay nahawahan na ang system at ang pangalawa ay magwawakas sa pagpapatupad nito. Ang banta ay tumatanggap ng mga utos mula sa isang Command-and-Control (C2, C&C) server sa pamamagitan ng TCP. Ang komunikasyon sa server ay isinasagawa sa pamamagitan ng isang pasadyang protocol kung saan ang mga ipinagpapalit na packet ay sumusunod sa isang tiyak na format.

Nagbabala ang mga mananaliksik sa cybersecurity na ang kasalukuyang mga kakayahan ng NetDooka RAT ay maaaring sumailalim sa mga makabuluhang pagbabago sa mga susunod na bersyon. Sa ngayon, ang banta ay kadalasang ginagamit upang magtatag ng panandaliang presensya at pagtitiyaga sa mga nilabag na device upang magsagawa ng mga aktibidad sa pangongolekta ng data at espiya. Gayunpaman, ang katotohanan na ang malware frame ay nagsasama ng isang bahagi ng loader, ay nangangahulugan na ang mga aktor ng pagbabanta ay maaaring maghatid ng mga karagdagang payload upang ituloy ang iba pang mga nagbabantang layunin.