NetDooka RAT
网络安全专家发现了一个复杂的、多组件的恶意软件框架 NetDooka。该框架由专用加载程序、dropper、保护驱动程序和成熟的 RAT(远程访问木马)组成。为了启动感染,威胁参与者依赖于 PrivateLoader 按安装付费 (PPI) 恶意软件分发服务。攻击者获得了对成功入侵设备的完全访问权限。安全研究人员发布了有关整个框架及其组件的详细信息。
感染的最后一个有效载荷是 NetDooka RAT,尽管它仍在积极开发中,但它已经能够执行广泛的侵入性和有害行为。它可以执行 shell 命令、发起 DDoS(分布式拒绝服务)攻击、将其他文件获取到被破坏的设备、执行文件、记录击键并促进远程桌面操作。
在开始其主要功能之前,RAT 会对虚拟化和分析环境的迹象进行多次检查。它还会查看系统中是否存在特定的互斥锁。找到互斥锁将向恶意软件发出信号,表明 NetDooka RAT 变体已经感染了系统,第二个变体将终止其执行。威胁通过 TCP 接收来自命令与控制(C2、C&C)服务器的命令。与服务器的通信是通过自定义协议进行的,其中交换的数据包遵循某种格式。
网络安全研究人员警告说,NetDooka RAT 的当前功能可能会在以后的版本中发生重大变化。目前,该威胁主要用于在被破坏的设备上建立短期存在和持久性,以执行数据收集和间谍活动。然而,恶意软件框架包含加载程序组件这一事实意味着威胁参与者也可以提供额外的有效负载来追求其他威胁目标。
