Malware ResolverRAT
Výzkumníci v oblasti kybernetické bezpečnosti identifikovali sofistikovaný trojan pro vzdálený přístup s názvem ResolverRAT, který je aktivně využíván při útocích zaměřených na zdravotnictví a farmaceutický sektor. Tento nově objevený malware představuje vážné riziko kvůli svému nenápadnému chování a složitým mechanismům infekce.
Obsah
Phishingová taktika: Strach jako zbraň
Kampaň začíná phishingovými e-maily vyvolávajícími strach, které mají příjemce nutit, aby naléhavě klikli na škodlivý odkaz. Tyto návnady často odkazují na právní problémy nebo porušování autorských práv, jejichž cílem je vyvolat paniku a vyvolat unáhlenou reakci. Po kliknutí odkaz vede ke stažení souboru, který zahájí infekční řetězec ResolverRAT.
Klamání specifické pro region
Význačným prvkem této kampaně je použití lokalizovaného phishingového obsahu. E-maily jsou psány v rodných jazycích cílových regionů – hindštině, italštině, češtině, turečtině, portugalštině a indonéštině – a zdůrazňují záměr útočníků zvýšit úspěšnost infekce prostřednictvím přizpůsobení specifického regionu.
Mechanika infekce: Tajná řetězová reakce
ResolverRAT využívá boční načítání DLL, aby nastartoval svůj infekční řetězec. První fáze používá in-memory loader k dešifrování a spuštění primární datové části, která je zašifrována, komprimována a nikdy nezapsána na disk. Tyto techniky umožňují, aby zůstal nerozpoznaný tradičními bezpečnostními nástroji.
Odolnost prostřednictvím redundance
Tento malware se nespoléhá pouze na utajení – je vytvořen pro přežití. ResolverRAT používá vícestupňový proces bootstrapping s redundantními mechanismy persistence, který se vkládá na různá místa v systému souborů Windows a registru. To zajišťuje, že i když je část malwaru odstraněna, může se znovu vytvořit.
Pokročilá infrastruktura C2: Skrytí na očích
Jakmile je ResolverRAT aktivní, zahájí autentizaci založenou na certifikátu, aby komunikoval se svým serverem Command-and-Control (C2), čímž obejde ověření kořenové autority. Je dokonce vybaven rotací IP pro přepínání serverů C2, pokud je jeden z nich odstraněn, což dále komplikuje snahy o detekci a odstranění.
Mistrovství v úniku: Neviditelné, ale přítomné
Aby ResolverRAT zůstal pod radarem, využívá připínání certifikátů, zatemňování zdrojového kódu a nepravidelné vzory signalizace. Tyto metody nejen skryjí svou přítomnost, ale také porazí standardní detekční techniky používané v bezpečnostních systémech.
Tichá exfiltrace dat
Primárním cílem malwaru je přijímat příkazy ze serveru C2 a exfiltrovat data. Chytře rozděluje velké datové soubory na části o velikosti 16 KB, čímž snižuje riziko odhalení nástroji pro monitorování sítě.
Atribuce stále nejasná, ale objevují se vzory
Ačkoli útočná kampaň zůstává nepřipsána, podobnosti v infrastruktuře, tématech a technikách – zejména použití bočního načítání DLL a phishingových návnad – naznačují možnou vazbu na dříve zdokumentované útoky. Toto překrývání by mohlo ukazovat na sdílenou přidruženou síť nebo koordinovanou aktivitu aktéra ohrožení.
Závěr: Trvalá, vyhýbavá kybernetická hrozba
ResolverRAT je příkladem nové generace malwaru – nenápadného, adaptivního a odolného. Jeho design odráží sofistikované porozumění moderní kybernetické obraně, což z něj činí hrozivou hrozbu pro cílená průmyslová odvětví a pro obránce je prioritou.
