Deed RAT

RAT-bedreigingen (Remote Access Trojan) zijn ontworpen om cybercriminelen ongeautoriseerde externe toegang tot de gehackte systemen te bieden. Deze bedreigingen kunnen doorgaans een reeks indringende functies bevatten en kunnen worden ingezet als onderdeel van verschillende aanvalsoperaties. De Deed RAT is geen uitzondering en kan worden geïnstrueerd om tal van acties uit te voeren, gebaseerd op de specifieke doelen van de aanvallers. Opgemerkt moet worden dat de Deed RAT geen nieuwe bedreiging is. In feite bestaat het al een tijdje. Onlangs merkten infosec-onderzoekers echter een stijging op in de Deed RAT-activiteit, waarbij nieuwe varianten met een bijgewerkte reeks bedreigende functies betrokken waren. Vermoedelijk zitten Chinese dreigingsactoren die betrokken zijn bij cyberspionage achter de hernieuwde belangstelling voor de dreiging.

De Deed RAT is een modulaire bedreiging die wordt geleverd via de hoofdmodulelader. Het bestaat uit drie afzonderlijke secties, elk met verschillende toegangsrechten. Op zijn beurt kan de hoofdachterdeur plug-ins met specifieke functies laden en beheren. Het gegevensgedeelte bevat bijvoorbeeld acht versleutelde plug-ins. Over het algemeen kan elk van de geïdentificeerde plug-ins vijf hulpprogramma's uitvoeren. De netwerkplug-in is verantwoordelijk voor het extraheren van het Command-and-Control (C2, C&C) serveradres als een URL-string.

De dreiging kan systeeminformatie verzamelen, een afzonderlijke externe verbinding maken waarmee de aanvallers met de plug-ins kunnen werken, de externe verbinding deactiveren en zichzelf verwijderen om de sporen van de hackers te verbergen. Bovendien kan de Deed RAT communiceren met het Windows-register en het wijzigen.