Deed RAT

Les amenaces RAT (Remote Access Trojan) estan dissenyades per proporcionar als ciberdelinqüents accés remot no autoritzat als sistemes violats. Normalment, aquestes amenaces poden portar un conjunt de funcions intrusives i es podrien desplegar com a part de diferents operacions d'atac. El Deed RAT no és una excepció i es podria indicar que realitzi nombroses accions, en funció dels objectius específics dels atacants. Cal tenir en compte que el Deed RAT no és una nova amenaça. De fet, fa bastant temps que existeix. No obstant això, recentment, els investigadors d'infosec van notar un augment en l'activitat de Deed RAT, que implica noves variants amb un conjunt actualitzat de funcions amenaçadores. Es creu que els actors d'amenaça xinesos implicats en el ciberespionatge estan darrere del renovat interès per l'amenaça.

El Deed RAT és una amenaça modular que es lliura mitjançant el carregador de mòduls principal. Consta de tres seccions separades, cadascuna amb drets d'accés diferents. Al seu torn, la porta posterior principal és capaç de carregar i gestionar complements amb funcions específiques. Per exemple, la secció de dades conté vuit connectors xifrats. En general, cadascun dels connectors identificats és capaç de realitzar cinc operacions d'utilitat. El connector de xarxa és responsable d'extreure l'adreça del servidor d'ordres i control (C2, C&C) com a cadena d'URL.

L'amenaça pot recopilar informació del sistema, crear una connexió remota independent que permeti als atacants treballar amb els connectors, desactivar la connexió remota i eliminar-se per cobrir les pistes dels pirates informàtics. A més, el Deed RAT pot interactuar i modificar el Registre de Windows.