Deed RAT

RAT-Bedrohungen (Remote Access Trojan) wurden entwickelt, um Cyberkriminellen unbefugten Fernzugriff auf die angegriffenen Systeme zu verschaffen. Typischerweise können diese Bedrohungen eine Vielzahl von aufdringlichen Merkmalen aufweisen und als Teil verschiedener Angriffsoperationen eingesetzt werden. Die Deed RAT ist keine Ausnahme und könnte angewiesen werden, zahlreiche Aktionen auszuführen, basierend auf den spezifischen Zielen der Angreifer. Es muss beachtet werden, dass die Deed RAT keine neue Bedrohung darstellt. Tatsächlich gibt es ihn schon eine ganze Weile. Kürzlich bemerkten Infosec-Forscher jedoch einen Anstieg der Deed RAT-Aktivität, der neue Varianten mit einem aktualisierten Satz bedrohlicher Merkmale beinhaltete. Es wird angenommen, dass chinesische Bedrohungsakteure, die an Cyberspionage beteiligt sind, hinter dem erneuten Interesse an der Bedrohung stehen.

Die Deed RAT ist eine modulare Bedrohung, die über den Hauptmodullader geliefert wird. Es besteht aus drei separaten Abschnitten mit jeweils unterschiedlichen Zugriffsrechten. Die Haupt-Backdoor wiederum ist in der Lage, Plugins mit bestimmten Funktionen zu laden und zu verwalten. Beispielsweise enthält der Datenabschnitt acht verschlüsselte Plugins. Im Allgemeinen ist jedes der identifizierten Plugins in der Lage, fünf Hilfsoperationen auszuführen. Das Netzwerk-Plugin ist für das Extrahieren der Command-and-Control (C2, C&C)-Serveradresse als URL-String verantwortlich.

Die Bedrohung kann Systeminformationen sammeln, eine separate Remote-Verbindung herstellen, die es den Angreifern ermöglicht, mit den Plugins zu arbeiten, die Remote-Verbindung deaktivieren und sich selbst entfernen, um die Spuren der Hacker zu verwischen. Darüber hinaus kann die Deed RAT mit der Windows-Registrierung interagieren und diese ändern.