Deed RAT

Zagrożenia RAT (Remote Access Trojan) mają na celu zapewnienie cyberprzestępcom nieautoryzowanego zdalnego dostępu do naruszonych systemów. Zazwyczaj zagrożenia te mogą nieść ze sobą zestaw inwazyjnych funkcji i mogą być wdrażane w ramach różnych operacji ataku. Deed RAT nie jest wyjątkiem i może zostać poinstruowany do wykonania wielu działań w oparciu o konkretne cele napastników. Należy zauważyć, że Deed RAT nie jest nowym zagrożeniem. W rzeczywistości istnieje już od dłuższego czasu. Jednak ostatnio badacze infosec zauważyli wzrost aktywności Deed RAT, obejmujący nowe warianty ze zaktualizowanym zestawem zagrażających funkcji. Uważa się, że za wznowieniem zainteresowania zagrożeniem stoją chińscy aktorzy zajmujący się cyberszpiegostwem.

Deed RAT to modułowe zagrożenie, które jest dostarczane przez główny moduł ładujący. Składa się z trzech oddzielnych sekcji, z których każda ma inne prawa dostępu. Z kolei główny backdoor jest w stanie ładować i zarządzać wtyczkami o określonych funkcjach. Na przykład sekcja danych zawiera osiem zaszyfrowanych wtyczek. Ogólnie rzecz biorąc, każda ze zidentyfikowanych wtyczek jest w stanie wykonać pięć operacji narzędziowych. Wtyczka sieciowa jest odpowiedzialna za wyodrębnienie adresu serwera Command-and-Control (C2, C&C) jako ciągu URL.

Zagrożenie może zbierać informacje o systemie, tworzyć oddzielne zdalne połączenie, które umożliwia atakującym pracę z wtyczkami, dezaktywować zdalne połączenie i usuwać się, aby zatrzeć ślady hakerów. Ponadto Deed RAT może wchodzić w interakcje z rejestrem Windows i modyfikować go.