תוכנה זדונית של ResolverRAT
חוקרי אבטחת סייבר זיהו טרויאני גישה מרחוק מתוחכם בשם ResolverRAT, שנמצא בשימוש פעיל בהתקפות המכוונות למגזרי הבריאות והתרופות. תוכנה זדונית שהתגלתה לאחרונה מהווה סיכון רציני בשל התנהגותה החמקנית ומנגנוני ההדבקה המורכבים.
תוכן העניינים
טקטיקת פישינג: פחד כנשק
הקמפיין מתחיל בדוא"ל דיוג מעורר פחד, שנועדו לדחוף נמענים ללחוץ בדחיפות על קישור זדוני. פתיונות אלה מתייחסים לעתים קרובות לבעיות משפטיות או הפרות של זכויות יוצרים, שנועדו ליצור פאניקה ולעורר תגובה נמהרת. לאחר הלחיצה, הקישור מוביל להורדה של קובץ שמתחיל את שרשרת ההדבקה של ResolverRAT.
הונאה ספציפית לאזור
מרכיב בולט במסע פרסום זה הוא השימוש בתוכן דיוג מקומי. הודעות דוא"ל נכתבות בשפות האם של האזורים הממוקדים - הינדית, איטלקית, צ'כית, טורקית, פורטוגזית ואינדונזית - מה שמדגיש את כוונת התוקפים להגביר את הצלחת ההדבקה באמצעות התאמה לאזור ספציפי.
מכניקת זיהום: תגובת שרשרת חמקנית
ResolverRAT משתמש בטעינת DLL בצד כדי להפעיל את שרשרת ההדבקה שלה. השלב הראשון משתמש במטען בתוך הזיכרון כדי לפענח ולהפעיל את המטען הראשי, שהוא מוצפן, דחוס ולעולם לא נכתב לדיסק. טכניקות אלו מאפשרות לו להישאר ללא זיהוי על ידי כלי אבטחה מסורתיים.
חוסן באמצעות יתירות
תוכנה זדונית זו לא מסתמכת רק על התגנבות - היא בנויה להישרדות. ResolverRAT משתמש בתהליך אתחול רב-שלבי עם מנגנוני התמדה מיותרים, ומטמיע את עצמו במיקומים שונים במערכת הקבצים והרישום של Windows. זה מבטיח שגם אם חלק מהתוכנה הזדונית יוסר, היא יכולה להתבסס מחדש.
תשתית C2 מתקדמת: מסתתר בטווח ראייה
לאחר הפעלתו, ResolverRAT יוזם אימות מבוסס תעודות כדי לתקשר עם שרת הפקודה והבקרה (C2) שלו, תוך עקיפה של אימות סמכות השורש. הוא אפילו כולל סיבוב IP כדי להחליף שרתי C2 אם אחד יוסר, מה שמסבך עוד יותר את מאמצי הזיהוי וההסרה.
שליטה בהתחמקות: בלתי נראה אך נוכח
כדי להישאר מתחת לרדאר, ResolverRAT ממנפת הצמדת אישורים, ערפול קוד המקור ודפוסי משואות לא סדירים. שיטות אלו לא רק מסתירות את נוכחותן אלא גם מביסות טכניקות זיהוי סטנדרטיות המשמשות במערכות אבטחה.
חילוץ נתונים שקט
המטרה העיקרית של התוכנה הזדונית היא לקבל פקודות משרת C2 ולחלץ נתונים. הוא מפצל בחוכמה קבצי נתונים גדולים לנתחים של 16 KB, ומפחית את הסיכון לזיהוי על ידי כלי ניטור רשת.
ייחוס עדיין לא ברור, אבל דפוסים צצים
למרות שמסע התקיפה נותר ללא מיוחס, קווי דמיון בתשתית, נושאים וטכניקות - במיוחד השימוש בטעינת צד של DLL ופתיונות דיוג - מרמזים על קישור אפשרי להתקפות שתועדו בעבר. חפיפה זו יכולה להצביע על רשת שותפים משותפת או פעילות מתואמת של גורם איומים.
מסקנה: איום סייבר מתמשך וחמקמק
ResolverRAT מדגים את הדור הבא של תוכנות זדוניות - חמקניות, מסתגלות וגמישות. העיצוב שלו משקף הבנה מתוחכמת של הגנות אבטחת סייבר מודרניות, מה שהופך אותו לאיום אדיר על תעשיות ממוקדות ולדאגה בעדיפות גבוהה עבור המגינים.
