NetDooka RAT
NetDookaとして追跡されている洗練されたマルチコンポーネントマルウェアフレームワークが、サイバーセキュリティの専門家によって発見されました。このフレームワークは、専用のローダー、ドロッパー、保護ドライバー、および本格的なRAT(リモートアクセストロイの木馬)で構成されています。感染を開始するために、攻撃者はPrivateLoader Pay-Per-Install(PPI)マルウェア配布サービスに依存していました。攻撃者は、侵害に成功したデバイスへのフルアクセスを受け取りました。フレームワーク全体とそのコンポーネントに関する詳細は、セキュリティ研究者によってリリースされました。
感染の最後のペイロードはNetDookaRATです。これは、まだ活発に開発されているにもかかわらず、すでに広範囲の侵入的で有害なアクションを実行できる脅威です。シェルコマンドの実行、DDoS(Distributed Denial-of-Service)攻撃の起動、侵害されたデバイスへの追加ファイルのフェッチ、ファイルの実行、キーストロークのログ記録、およびリモートデスクトップ操作の促進を行うことができます。
RATは、主要な機能を開始する前に、仮想化および分析環境の兆候についていくつかのチェックを実行します。また、特定のミューテックスがシステムに存在するかどうかも調べます。ミューテックスを見つけると、NetDooka RATバリアントがすでにシステムに感染していることをマルウェアに通知し、2番目のバリアントはその実行を終了します。脅威は、TCPを介してコマンドアンドコントロール(C2、C&C)サーバーからコマンドを受信します。サーバーとの通信は、交換されたパケットが特定の形式に従うカスタムプロトコルを介して実行されます。
サイバーセキュリティの研究者は、NetDookaRATの現在の機能が後のバージョンで大幅に変更される可能性があると警告しています。現時点では、この脅威は主に、データ収集およびスパイ活動を実行するために、侵害されたデバイス上で短期間のプレゼンスと永続性を確立するために使用されます。ただし、マルウェアフレームにローダーコンポーネントが組み込まれているという事実は、攻撃者が追加のペイロードを配信して、他の脅威となる目標を追求できることを意味します。
