Deed RAT

RAT (троянски кон за отдалечен достъп) са предназначени да предоставят на киберпрестъпниците неоторизиран отдалечен достъп до пробитите системи. Обикновено тези заплахи могат да носят набор от натрапчиви функции и могат да бъдат разгърнати като част от различни операции за атака. Deed RAT не е изключение и може да бъде инструктиран да извършва множество действия, базирани на конкретните цели на нападателите. Трябва да се отбележи, че Deed RAT не е нова заплаха. Всъщност съществува от доста време. Наскоро обаче изследователите на информационната сигурност забелязаха повишение в дейността на Deed RAT, включващо нови варианти с актуализиран набор от заплашителни функции. Смята се, че китайски заплахи, участващи в кибершпионаж, стоят зад подновения интерес към заплахата.

Deed RAT е модулна заплаха, която се доставя чрез основния зареждащ модул. Състои се от три отделни секции, всяка с различни права за достъп. На свой ред основната задна вратичка може да зарежда и управлява плъгини със специфични функции. Например секцията с данни съдържа осем криптирани добавки. Като цяло всеки от идентифицираните плъгини е в състояние да изпълнява пет помощни операции. Мрежовият плъгин отговаря за извличането на адреса на сървъра за командване и управление (C2, C&C) като URL низ.

Заплахата може да събира системна информация, да създава отделна отдалечена връзка, която позволява на нападателите да работят с добавките, да деактивира отдалечената връзка и да се премахне, за да прикрие следите на хакерите. В допълнение, Deed RAT може да взаимодейства и да променя системния регистър на Windows.