بدافزار ResolverRAT

محققان امنیت سایبری یک تروجان دسترسی از راه دور پیچیده به نام ResolverRAT را شناسایی کرده اند که به طور فعال در حملاتی که بخش های مراقبت های بهداشتی و دارویی را هدف قرار می دهند، استفاده می شود. این بدافزار تازه کشف شده به دلیل رفتار مخفیانه و مکانیسم های پیچیده عفونت، خطری جدی به همراه دارد.

تاکتیک های فیشینگ: ترس به عنوان یک سلاح

این کمپین با ایمیل‌های فیشینگ ترسناک شروع می‌شود، که به گونه‌ای طراحی شده‌اند که گیرندگان را وادار به کلیک فوری روی یک پیوند مخرب کند. این فریب ها اغلب به مشکلات قانونی یا نقض حق چاپ اشاره می کنند که برای ایجاد وحشت و برانگیختن واکنش عجولانه طراحی شده اند. پس از کلیک کردن، پیوند به دانلود فایلی منتهی می شود که زنجیره آلودگی ResolverRAT را آغاز می کند.

فریب مخصوص منطقه

یک عنصر برجسته در این کمپین استفاده از محتوای فیشینگ محلی است. ایمیل‌ها به زبان‌های بومی مناطق مورد نظر - هندی، ایتالیایی، چکی، ترکی، پرتغالی و اندونزیایی - نوشته می‌شوند و هدف مهاجمان را برای افزایش موفقیت عفونت از طریق خیاطی خاص منطقه برجسته می‌کنند.

مکانیک عفونت: یک واکنش زنجیره ای پنهان

ResolverRAT از بارگذاری جانبی DLL برای شروع زنجیره عفونت خود استفاده می کند. مرحله اول از یک بارگذار درون حافظه برای رمزگشایی و اجرای بار اولیه استفاده می کند که رمزگذاری شده، فشرده شده و هرگز روی دیسک نوشته نمی شود. این تکنیک ها آن را قادر می سازد تا توسط ابزارهای امنیتی سنتی شناسایی نشده باقی بماند.

انعطاف پذیری از طریق افزونگی

این بدافزار فقط به پنهان کاری متکی نیست، بلکه برای بقا ساخته شده است. ResolverRAT از یک فرآیند راه‌اندازی چند مرحله‌ای با مکانیسم‌های ماندگاری اضافی استفاده می‌کند و خود را در مکان‌های مختلف در سیستم فایل ویندوز و رجیستری جاسازی می‌کند. این تضمین می کند که حتی اگر بخشی از بدافزار حذف شود، می تواند خود را دوباره ایجاد کند.

زیرساخت پیشرفته C2: پنهان شدن در دید ساده

پس از فعال شدن، ResolverRAT احراز هویت مبتنی بر گواهی را برای برقراری ارتباط با سرور Command-and-Control (C2) خود آغاز می‌کند، و از اعتبار سنجی root استفاده می‌کند. این حتی دارای چرخش IP برای تعویض سرورهای C2 در صورت حذف یکی از آنها است که تلاش‌های شناسایی و حذف را پیچیده‌تر می‌کند.

تسلط فرار: نامرئی اما حاضر

برای ماندن در زیر رادار، ResolverRAT از پین کردن گواهی، مبهم سازی کد منبع و الگوهای beaconing نامنظم استفاده می کند. این روش ها نه تنها حضور خود را پنهان می کنند بلکه تکنیک های تشخیص استاندارد مورد استفاده در سیستم های امنیتی را نیز شکست می دهند.

استخراج داده های خاموش

هدف اصلی بدافزار دریافت دستورات از سرور C2 و استخراج داده ها است. این فایل‌های داده بزرگ را هوشمندانه به تکه‌های ۱۶ کیلوبایتی تقسیم می‌کند و خطر شناسایی توسط ابزارهای نظارت شبکه را کاهش می‌دهد.

انتساب هنوز مشخص نیست، اما الگوها ظاهر می شوند

اگرچه کمپین حمله بدون نسبت باقی می ماند، شباهت ها در زیرساخت ها، تم ها و تکنیک ها - به ویژه استفاده از بارگذاری جانبی DLL و فریب های فیشینگ - به پیوند احتمالی حملات مستند شده قبلی اشاره می کند. این همپوشانی می تواند به یک شبکه وابسته مشترک یا فعالیت عامل تهدید هماهنگ اشاره کند.

نتیجه گیری: یک تهدید سایبری مداوم و گریزان

ResolverRAT نمونه ای از نسل بعدی بدافزارها است - مخفی، سازگار و انعطاف پذیر. طراحی آن منعکس کننده درک پیچیده ای از دفاع های مدرن امنیت سایبری است، و آن را به یک تهدید بزرگ برای صنایع هدف و یک نگرانی با اولویت بالا برای مدافعان تبدیل می کند.