Deed RAT

Угрозы RAT (Remote Access Trojan) предназначены для предоставления киберпреступникам несанкционированного удаленного доступа к взломанным системам. Как правило, эти угрозы могут иметь разнообразный набор интрузивных функций и могут быть развернуты как часть различных операций атаки. Deed RAT не является исключением, и ему можно поручить выполнение многочисленных действий, исходя из конкретных целей злоумышленников. Следует отметить, что Deed RAT не является новой угрозой. На самом деле, он существует уже довольно давно. Однако в последнее время исследователи информационной безопасности заметили всплеск активности Deed RAT, включая новые варианты с обновленным набором угрожающих функций. Считается, что за возобновлением интереса к угрозе стоят китайские злоумышленники, занимающиеся кибершпионажем.

Deed RAT — это модульная угроза, которая доставляется через загрузчик основного модуля. Он состоит из трех отдельных разделов, каждый из которых имеет разные права доступа. В свою очередь, основной бэкдор способен загружать и управлять плагинами с определенными функциями. Например, раздел данных содержит восемь зашифрованных плагинов. В целом каждый из идентифицированных плагинов способен выполнять пять служебных операций. Сетевой плагин отвечает за извлечение адреса сервера Command-and-Control (C2, C&C) в виде строки URL.

Угроза может собирать системную информацию, создавать отдельное удаленное соединение, позволяющее злоумышленникам работать с плагинами, деактивировать удаленное соединение и удалять себя, чтобы замести следы хакеров. Кроме того, Deed RAT может взаимодействовать с реестром Windows и изменять его.