NetDooka RAT
網絡安全專家發現了一個複雜的、多組件的惡意軟件框架 NetDooka。該框架由專用加載程序、dropper、保護驅動程序和成熟的 RAT(遠程訪問木馬)組成。為了啟動感染,威脅參與者依賴於 PrivateLoader 按安裝付費 (PPI) 惡意軟件分發服務。攻擊者獲得了對成功入侵設備的完全訪問權限。安全研究人員發布了有關整個框架及其組件的詳細信息。
感染的最後一個有效載荷是 NetDooka RAT,儘管它仍在積極開發中,但它已經能夠執行廣泛的侵入性和有害行為。它可以執行 shell 命令、發起 DDoS(分佈式拒絕服務)攻擊、將其他文件獲取到被破壞的設備、執行文件、記錄擊鍵並促進遠程桌面操作。
在開始其主要功能之前,RAT 會對虛擬化和分析環境的跡象進行多次檢查。它還會查看系統中是否存在特定的互斥鎖。找到互斥鎖將向惡意軟件發出信號,表明 NetDooka RAT 變體已經感染了系統,第二個變體將終止其執行。威脅通過 TCP 接收來自命令與控制(C2、C&C)服務器的命令。與服務器的通信是通過自定義協議進行的,其中交換的數據包遵循某種格式。
網絡安全研究人員警告說,NetDooka RAT 的當前功能可能會在以後的版本中發生重大變化。目前,該威脅主要用於在被破壞的設備上建立短期存在和持久性,以執行數據收集和間諜活動。然而,惡意軟件框架包含加載程序組件這一事實意味著威脅參與者也可以提供額外的有效負載來追求其他威脅目標。
