NetDooka RAT

NetDooka RAT Description

Một khuôn khổ phần mềm độc hại đa thành phần phức tạp được theo dõi có tên NetDooka đã được các chuyên gia an ninh mạng phát hiện. Khung công tác bao gồm một trình tải chuyên dụng, ống nhỏ giọt, trình điều khiển bảo vệ và một RAT (Trojan Truy cập Từ xa) chính thức. Để bắt đầu lây nhiễm, các tác nhân đe dọa đã dựa vào dịch vụ phân phối phần mềm độc hại trả cho mỗi lần cài đặt (PPI) PrivateLoader. Những kẻ tấn công nhận được toàn quyền truy cập vào các thiết bị bị xâm nhập thành công. Thông tin chi tiết về toàn bộ khung và các thành phần của nó đã được các nhà nghiên cứu bảo mật phát hành.

Tải trọng cuối cùng trong sự lây nhiễm, là NetDooka RAT, một mối đe dọa mặc dù vẫn đang được phát triển tích cực nhưng đã có khả năng thực hiện một loạt các hành động xâm nhập và có hại. Nó có thể thực thi các lệnh shell, khởi chạy các cuộc tấn công DDoS (Từ chối dịch vụ phân tán), tìm nạp các tệp bổ sung vào thiết bị bị xâm phạm, thực thi các tệp, ghi lại các lần nhấn phím và tạo điều kiện cho các hoạt động trên máy tính từ xa.

Trước khi bắt đầu các chức năng chính của nó, RAT thực hiện một số kiểm tra các dấu hiệu của môi trường phân tích và ảo hóa. Nó cũng xem xét nếu một mutex cụ thể có trong hệ thống hay không. Việc tìm thấy mutex sẽ báo hiệu phần mềm độc hại rằng một biến thể NetDooka RAT đã lây nhiễm vào hệ thống và biến thể thứ hai sẽ chấm dứt quá trình thực thi của nó. Mối đe dọa nhận được lệnh từ máy chủ Command-and-Control (C2, C&C) thông qua TCP. Giao tiếp với máy chủ được thực hiện thông qua một giao thức tùy chỉnh trong đó các gói được trao đổi tuân theo một định dạng nhất định.

Các nhà nghiên cứu an ninh mạng cảnh báo rằng các khả năng hiện tại của NetDooka RAT có thể trải qua những thay đổi đáng kể trong các phiên bản sau. Hiện tại, mối đe dọa chủ yếu được sử dụng để thiết lập sự hiện diện ngắn hạn và tồn tại lâu dài trên các thiết bị bị vi phạm để thực hiện các hoạt động thu thập dữ liệu và gián điệp. Tuy nhiên, thực tế là khung phần mềm độc hại kết hợp một thành phần trình tải, có nghĩa là các tác nhân đe dọa cũng có thể cung cấp các tải trọng bổ sung để theo đuổi các mục tiêu đe dọa khác.