NetDooka RAT

NetDooka RAT Опис

Експерти з кібербезпеки виявили складну багатокомпонентну структуру шкідливого програмного забезпечення, яка відстежується як NetDooka. Фреймворк складається з спеціального завантажувача, дроппера, драйвера захисту і повноцінного RAT (трояна віддаленого доступу). Щоб ініціювати зараження, суб’єкти загроз покладалися на службу розповсюдження шкідливих програм PrivateLoader з оплатою за встановлення (PPI). Зловмисники отримали повний доступ до успішно зламаних пристроїв. Дослідники безпеки оприлюднили подробиці про весь фреймворк та його компоненти.

Останнім корисним навантаженням у зараженні є NetDooka RAT, загроза, яка все ще знаходиться в стадії активної розробки, але вже здатна виконувати широкий спектр нав’язливих і шкідливих дій. Він може виконувати команди оболонки, запускати атаки DDoS (розподілена відмова в обслуговуванні), завантажувати додаткові файли на зламаний пристрій, виконувати файли, реєструвати натискання клавіш і полегшувати операції на віддаленому робочому столі.

Перед запуском своїх основних функцій RAT виконує кілька перевірок на наявність ознак віртуалізації та середовища аналізу. Він також перевіряє, чи є в системі певний мьютекс. Знаходження мьютекса буде сигналізувати зловмисному програмному забезпеченню, що варіант NetDooka RAT вже заразив систему, а другий припинить його виконання. Загроза отримує команди від сервера командування та керування (C2, C&C) через TCP. Зв'язок із сервером здійснюється за допомогою спеціального протоколу, де обмінювані пакети мають певний формат.

Дослідники кібербезпеки попереджають, що поточні можливості NetDooka RAT можуть зазнати значних змін у наступних версіях. На даний момент загроза в основному використовується для встановлення короткочасної присутності та збереження на зламаних пристроях для здійснення збору даних та шпигунської діяльності. Однак той факт, що фрейм зловмисного програмного забезпечення містить компонент завантажувача, означає, що суб’єкти загроз можуть доставити додаткові корисні навантаження для досягнення інших загрозливих цілей.