ResolverRAT Malware

साइबर सुरक्षा शोधकर्ताओं ने रिज़ॉल्वरआरएटी नामक एक परिष्कृत रिमोट एक्सेस ट्रोजन की पहचान की है, जिसका उपयोग स्वास्थ्य सेवा और दवा क्षेत्रों को लक्षित करने वाले हमलों में सक्रिय रूप से किया जा रहा है। यह नया खोजा गया मैलवेयर अपने गुप्त व्यवहार और जटिल संक्रमण तंत्र के कारण गंभीर जोखिम पैदा करता है।

फ़िशिंग रणनीति: भय एक हथियार के रूप में

अभियान की शुरुआत डर पैदा करने वाले फ़िशिंग ईमेल से होती है, जो प्राप्तकर्ताओं को दुर्भावनापूर्ण लिंक पर तुरंत क्लिक करने के लिए प्रेरित करने के लिए तैयार किए जाते हैं। ये लालच अक्सर कानूनी परेशानियों या कॉपीराइट उल्लंघनों का संदर्भ देते हैं, जो घबराहट पैदा करने और जल्दबाजी में प्रतिक्रिया करने के लिए डिज़ाइन किए गए हैं। एक बार क्लिक करने के बाद, लिंक एक फ़ाइल के डाउनलोड की ओर ले जाता है जो रिज़ॉल्वरआरएटी संक्रमण श्रृंखला शुरू करता है।

क्षेत्र-विशेष धोखा

इस अभियान में एक महत्वपूर्ण तत्व स्थानीयकृत फ़िशिंग सामग्री का उपयोग है। ईमेल लक्षित क्षेत्रों की मूल भाषाओं में लिखे गए हैं - हिंदी, इतालवी, चेक, तुर्की, पुर्तगाली और इंडोनेशियाई - जो क्षेत्र-विशिष्ट अनुकूलन के माध्यम से संक्रमण की सफलता को बढ़ाने के हमलावरों के इरादे को उजागर करते हैं।

संक्रमण यांत्रिकी: एक गुप्त श्रृंखला प्रतिक्रिया

ResolverRAT अपनी संक्रमण श्रृंखला को शुरू करने के लिए DLL साइड-लोडिंग का उपयोग करता है। पहला चरण प्राथमिक पेलोड को डिक्रिप्ट करने और चलाने के लिए इन-मेमोरी लोडर का उपयोग करता है, जिसे एन्क्रिप्ट किया जाता है, संपीड़ित किया जाता है और कभी भी डिस्क पर नहीं लिखा जाता है। ये तकनीकें इसे पारंपरिक सुरक्षा उपकरणों द्वारा अनिर्धारित रहने में सक्षम बनाती हैं।

अतिरेक के माध्यम से लचीलापन

यह मैलवेयर सिर्फ़ छिपने पर निर्भर नहीं करता है - यह जीवित रहने के लिए बनाया गया है। ResolverRAT एक बहु-चरणीय बूटस्ट्रैपिंग प्रक्रिया का उपयोग करता है जिसमें अनावश्यक दृढ़ता तंत्र होता है, जो खुद को विंडोज फ़ाइल सिस्टम और रजिस्ट्री पर विभिन्न स्थानों में एम्बेड करता है। यह सुनिश्चित करता है कि भले ही मैलवेयर का कुछ हिस्सा हटा दिया गया हो, यह खुद को फिर से स्थापित कर सकता है।

उन्नत C2 अवसंरचना: स्पष्ट दृष्टि में छिपी हुई

एक बार सक्रिय होने के बाद, रिज़ॉल्वर आरएटी अपने कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार करने के लिए प्रमाणपत्र-आधारित प्रमाणीकरण शुरू करता है, रूट प्राधिकरण सत्यापन को दरकिनार करता है। इसमें C2 सर्वर को बंद करने पर स्विच करने के लिए IP रोटेशन की सुविधा भी है, जिससे पता लगाने और हटाने के प्रयास और भी जटिल हो जाते हैं।

चोरी की महारत: अदृश्य लेकिन मौजूद

रडार के नीचे रहने के लिए, रिज़ॉल्वरआरएटी प्रमाणपत्र पिनिंग, स्रोत कोड अस्पष्टीकरण और अनियमित बीकनिंग पैटर्न का लाभ उठाता है। ये विधियाँ न केवल अपनी उपस्थिति को छिपाती हैं बल्कि सुरक्षा प्रणालियों में उपयोग की जाने वाली मानक पहचान तकनीकों को भी पराजित करती हैं।

मौन डेटा निष्कासन

मैलवेयर का मुख्य उद्देश्य C2 सर्वर से कमांड प्राप्त करना और डेटा को बाहर निकालना है। यह बड़ी चतुराई से बड़ी डेटा फ़ाइलों को 16 KB के टुकड़ों में विभाजित करता है, जिससे नेटवर्क मॉनिटरिंग टूल द्वारा पता लगाने का जोखिम कम हो जाता है।

जिम्मेदारी अभी भी स्पष्ट नहीं, लेकिन पैटर्न उभर कर सामने आए

हालांकि हमले के अभियान का श्रेय अभी तक नहीं दिया गया है, लेकिन बुनियादी ढांचे, थीम और तकनीकों में समानताएं—खास तौर पर DLL साइड-लोडिंग और फ़िशिंग लालच का इस्तेमाल—पहले से दर्ज हमलों से संभावित लिंक की ओर इशारा करते हैं। यह ओवरलैप किसी साझा सहबद्ध नेटवर्क या समन्वित ख़तरा अभिनेता गतिविधि की ओर इशारा कर सकता है।

निष्कर्ष: एक सतत, भ्रामक साइबर खतरा

रिज़ॉल्वर आरएटी मैलवेयर की अगली पीढ़ी का उदाहरण है - चुपके, अनुकूली और लचीला। इसका डिज़ाइन आधुनिक साइबर सुरक्षा बचाव की परिष्कृत समझ को दर्शाता है, जो इसे लक्षित उद्योगों के लिए एक दुर्जेय खतरा और रक्षकों के लिए एक उच्च प्राथमिकता वाली चिंता बनाता है।