Deed RAT
RAT(远程访问木马)威胁旨在为网络犯罪分子提供对被破坏系统的未经授权的远程访问。通常,这些威胁可以带有一组不同的侵入性特征,并且可以作为不同攻击行动的一部分进行部署。 Deed RAT 也不例外,它可以根据攻击者的特定目标被指示执行许多操作。必须注意的是,契约 RAT 并不是一个新的威胁。事实上,它已经存在了一段时间。然而,最近,信息安全研究人员注意到 Deed RAT 活动有所增加,其中涉及具有一组更新的威胁特征的新变体。据信,参与网络间谍活动的中国威胁行为者是对这一威胁重新产生兴趣的幕后黑手。
Deed RAT 是一种模块化威胁,通过主模块加载器传递。它由三个独立的部分组成,每个部分具有不同的访问权限。反过来,主后门能够加载和管理具有特定功能的插件。例如,数据部分包含八个加密插件。通常,每个已识别插件都能够执行五种实用程序操作。网络插件负责将命令和控制(C2、C&C)服务器地址提取为 URL 字符串。
威胁可以收集系统信息,创建一个单独的远程连接,允许攻击者使用插件,停用远程连接,并自行移除以掩盖黑客的踪迹。此外,Deed RAT 可以与 Windows 注册表交互和修改。
