Deed RAT

RAT(원격 액세스 트로이 목마) 위협은 사이버 범죄자에게 침해된 시스템에 대한 무단 원격 액세스를 제공하도록 설계되었습니다. 일반적으로 이러한 위협은 다양한 침입 기능을 포함할 수 있으며 다양한 공격 작업의 일부로 배포될 수 있습니다. Deed RAT도 예외는 아니며 공격자의 특정 목표에 따라 다양한 작업을 수행하도록 지시할 수 있습니다. Deed RAT는 새로운 위협이 아닙니다. 사실, 그것은 꽤 오랫동안 주변에 있었습니다. 그러나 최근에 infosec 연구원은 업데이트된 위협 기능 세트가 포함된 새로운 변종과 관련된 Deed RAT 활동의 증가를 확인했습니다. 사이버 스파이 활동에 연루된 중국의 위협 행위자가 위협에 대한 새로운 관심의 배후에 있는 것으로 여겨집니다.

Deed RAT는 메인 모듈 로더를 통해 전달되는 모듈식 위협입니다. 이는 각각 다른 액세스 권한을 갖는 세 개의 개별 섹션으로 구성됩니다. 차례로, 메인 백도어는 특정 기능을 가진 플러그인을 로드하고 관리할 수 있습니다. 예를 들어 데이터 섹션에는 8개의 암호화된 플러그인이 있습니다. 일반적으로 식별된 각 플러그인은 5가지 유틸리티 작업을 수행할 수 있습니다. 네트워크 플러그인은 Command-and-Control(C2, C&C) 서버 주소를 URL 문자열로 추출하는 역할을 합니다.

위협 요소는 시스템 정보를 수집하고, 공격자가 플러그인으로 작업할 수 있도록 별도의 원격 연결을 생성하고, 원격 연결을 비활성화하고, 해커의 흔적을 덮기 위해 자신을 제거할 수 있습니다. 또한 Deed RAT는 Windows 레지스트리와 상호 작용하고 수정할 수 있습니다.