NetDooka Malware-Erkennung: NetDooka ermöglicht Datenklau und Entführung
Inhaltsverzeichnis:
Gegner nutzen die PrivateLoader-Pay-per-Install-(PPI)-Malware-Distributionsplattform, um ein neues Malware-Framework namens NetDooka zu verbreiten. Dieses umfassende Malware-Framework besitzt mehrere Komponenten wie einen Loader, einen Dropper, einen Kernel-Mode-Prozess, einen Dateischutztreiber und ein Remote-Access-Trojaner (RAT).
Das startelement der Infektionskette des NetDooka-Frameworks ist die Installation der PrivateLoader-Malware. Der PPI-Dienst ist mit der Verbreitung solcher Malware-Stämme verbunden wie Remcos, Mars Stealer, RedLine Stealer, und Vidar, die in dieser Kampagne auch auf infizierte Systeme abgeworfen werden können.
NetDooka-Malware erkennen
Verwenden Sie die folgende Regel, die von unserem erfahrenen Threat Bounty-Entwickler Sittikorn Sangrattanapitak veröffentlicht wurde, um verdächtige Dateien zu erkennen, die mit dem NetDooka-Framework in Verbindung stehen:
Die Erkennungen sind für die 21 SIEM-, EDR- & XDR-Plattformen verfügbar, die mit dem neuesten MITRE ATT&CK®-Framework v.10 abgestimmt sind und die Ausführungs-Taktik mit Benutzerinteraktion als Haupttechnik (T1204) adressieren.
SOC Primes Bibliothek mit Erkennungsinhalten beherbergt Erkennungsgegenstände, die in über 25 SIEM-, EDR- und XDR-Lösungen integriert werden können. Drücken Sie die Erkennungen anzeigen Schaltfläche, um eine ständig wachsende Sammlung von über 185.000 zukunftssicheren Erkennungen zu durchsuchen, die für Plattformmitglieder verfügbar sind.
Treten Sie Threat Bounty, SOC Primes Crowd-Sourcing-Initiative bei, um unser Engagement für die Zusammenarbeit zu teilen und hohe Standards im Bereich der Cybersicherheitsprozesse zu erreichen. Experten im Bereich Cybersicherheit nutzen das Threat Bounty-Programm, um neue Möglichkeiten für ihre Karriere in diesem Bereich zu erschließen.
Erkennungen anzeigen Threat Bounty beitreten
NetDooka-Framework-Analyse
Die ersten Artefakte im Zusammenhang mit dem NetDooka-Framework wurden von TrendMicros Forschungsteam im Sicherheitsbericht beschrieben, der am 5. Mai 2022 veröffentlicht wurde. Die verfügbaren Daten sind schlechte Nachrichten, da der Sicherheitsanalyst vor dem alarmierenden bösartigen Potenzial des NetDooka-Malware-Frameworks warnt, obwohl es sich noch in der Entwicklungsphase befindet.
Über eine PrivateLoader PPI-Malware-Distributionsplattform verbreitet, ermöglicht die NetDooka-Malware ihren Betreibern, das System des Opfers zu übernehmen, d.h. Remote-Desktop-Operationen durchzuführen, Tastenanschläge zu protokollieren, Shell-Befehle auszuführen, DDoS-Angriffe zu starten und die Daten der Maschinen zu verwalten. Infektionen mit PrivateLoader verbreiten sich hauptsächlich über unlizensierte Software, die von illegalen Websites bezogen wird, die durch implementierte SEO-Poisoning-Taktiken hoch in den Suchergebnissen ranken. Zuvor wurde diese PPI-Plattform hauptsächlich genutzt, um Stealer- und Banking-Malware sowie Ransomware zu liefern.
Die NetDooka-Angriffskette basiert auf mehreren Komponenten, die bereits im Artikel erwähnt wurden. Die erste Nutzlast bringt einen Loader, der die Antivirustools des infizierten Systems deaktiviert. An diesem Punkt könnte der Loader auch einen Kernel-Treiber installieren, um die Operationen des RAT in den kommenden Schritten zu schützen. Ein erfolgreicher Betrieb gipfelt im Abwurf einer endgültigen Nutzlast, genannt NetDookaRAT, der den Bedrohungsakteuren die volle oder teilweise Kontrolle über das Ziel ermöglicht.
Während sich Hacks entwickeln, müssen wir uns anpassen. Um den Hackern voraus zu bleiben, ist proaktive Bedrohungserkennung unerlässlich. Angesichts des massiven Booms der Malware-Verbreitungsvorkommen, nutzt SOC Prime die kollektive Expertise von über 23.000 Cybersicherheitsexperten, die rechtzeitige und effiziente Lösungen anbieten, um Sicherheitsteams in die Lage zu versetzen, Bedrohungen leichter und schneller zu erkennen.
