Deed RAT

RAT-trusler (Remote Access Trojan) er designet til at give cyberkriminelle uautoriseret fjernadgang til de brudte systemer. Typisk kan disse trusler bære et dykkersæt af påtrængende funktioner og kan implementeres som en del af forskellige angrebsoperationer. Deed RAT er ikke en undtagelse, og den kan blive instrueret til at udføre adskillige handlinger baseret på angriberens specifikke mål. Det skal bemærkes, at Deed RAT ikke er en ny trussel. Faktisk har det eksisteret i et stykke tid. For nylig bemærkede infosec-forskere dog en stigning i Deed RAT-aktiviteten, der involverede nye varianter med et opdateret sæt truende funktioner. Det menes, at kinesiske trusselsaktører involveret i cyberspionage står bag den fornyede interesse for truslen.

Deed RAT er en modulær trussel, der leveres via hovedmodulindlæseren. Den består af tre separate sektioner, der hver har forskellige adgangsrettigheder. Til gengæld er hovedbagdøren i stand til at indlæse og administrere plugins med specifikke funktioner. For eksempel indeholder datasektionen otte krypterede plugins. Generelt er hvert af de identificerede plugins i stand til at udføre fem hjælpefunktioner. Netværkspluginnet er ansvarligt for at udtrække Command-and-Control (C2, C&C) serveradressen som en URL-streng.

Truslen kan indsamle systemoplysninger, skabe en separat fjernforbindelse, der gør det muligt for angriberne at arbejde med plugins, deaktivere fjernforbindelsen og fjerne sig selv for at dække hackernes spor. Derudover kan Deed RAT interagere med og ændre Windows-registreringsdatabasen.