Deed RAT
RAT(遠程訪問木馬)威脅旨在為網絡犯罪分子提供對被破壞系統的未經授權的遠程訪問。通常,這些威脅可以帶有一組不同的侵入性特徵,並且可以作為不同攻擊行動的一部分進行部署。 Deed RAT 也不例外,它可以根據攻擊者的特定目標被指示執行許多操作。必須注意的是,契約 RAT 並不是一個新的威脅。事實上,它已經存在了一段時間。然而,最近,信息安全研究人員注意到 Deed RAT 活動有所增加,其中涉及具有一組更新的威脅特徵的新變體。據信,參與網絡間諜活動的中國威脅行為者是對這一威脅重新產生興趣的幕後黑手。
Deed RAT 是一種模塊化威脅,通過主模塊加載器傳遞。它由三個獨立的部分組成,每個部分具有不同的訪問權限。反過來,主後門能夠加載和管理具有特定功能的插件。例如,數據部分包含八個加密插件。通常,每個已識別插件都能夠執行五種實用程序操作。網絡插件負責將命令和控制(C2、C&C)服務器地址提取為 URL 字符串。
威脅可以收集系統信息,創建一個單獨的遠程連接,允許攻擊者使用插件,停用遠程連接,並自行移除以掩蓋黑客的踪跡。此外,Deed RAT 可以與 Windows 註冊表交互和修改。
