Deed RAT

Загрози RAT (троян віддаленого доступу) призначені для надання кіберзлочинцям несанкціонованого віддаленого доступу до зламаних систем. Як правило, ці загрози можуть містити різноманітний набір нав’язливих функцій і можуть бути розгорнуті як частина різних операцій атак. Deed RAT не є винятком, і йому можна доручити виконання багатьох дій, виходячи з конкретних цілей зловмисників. Слід зазначити, що Deed RAT не є новою загрозою. Насправді він існує вже досить довго. Однак нещодавно дослідники інфосектора помітили зростання активності Deed RAT із залученням нових варіантів із оновленим набором загрозливих функцій. Вважається, що за новим інтересом до загрози стоять китайські актори, які займаються кібершпигунством.

Deed RAT — це модульна загроза, яка доставляється через головний завантажувач модулів. Він складається з трьох окремих розділів, кожен з яких має різні права доступу. У свою чергу, головний бекдор здатний завантажувати плагіни з певними функціями та керувати ними. Наприклад, розділ даних містить вісім зашифрованих плагінів. Загалом кожен із ідентифікованих плагінів здатний виконувати п’ять службових операцій. Мережевий плагін відповідає за отримання адреси сервера командування та керування (C2, C&C) у вигляді рядка URL-адреси.

Загроза може збирати системну інформацію, створювати окреме віддалене підключення, яке дозволяє зловмисникам працювати з плагінами, дезактивувати віддалене підключення та видалятися, щоб замести сліди хакерів. Крім того, Deed RAT може взаємодіяти з реєстром Windows і змінювати його.