„ResolverRAT“ kenkėjiška programa
Kibernetinio saugumo tyrėjai nustatė sudėtingą nuotolinės prieigos Trojos arklį pavadinimu ResolverRAT, kuris aktyviai naudojamas atakoms, nukreiptoms į sveikatos priežiūros ir farmacijos sektorius. Ši naujai atrasta kenkėjiška programa kelia rimtą pavojų dėl savo slapto elgesio ir sudėtingų infekcijos mechanizmų.
Turinys
Sukčiavimo taktika: baimė kaip ginklas
Kampanija prasideda nuo baimę sukeliančių sukčiavimo el. laiškų, skirtų priversti gavėjus skubiai spustelėti kenkėjišką nuorodą. Šie masalai dažnai nurodo teisinius nesklandumus ar autorių teisių pažeidimus, skirtus sukelti paniką ir išprovokuoti skubotą reakciją. Spustelėjus nuorodą, atsisiunčiamas failas, kuris inicijuoja ResolverRAT infekcijos grandinę.
Regionui būdinga apgaulė
Išskirtinis šios kampanijos elementas yra lokalizuoto sukčiavimo turinio naudojimas. El. laiškai rašomi tikslinių regionų – hindi, italų, čekų, turkų, portugalų ir indoneziečių – gimtąja kalbomis, o tai pabrėžia užpuolikų ketinimą padidinti užsikrėtimo sėkmę taikant konkrečiam regionui pritaikytus pritaikymus.
Infekcijos mechanika: slapta grandininė reakcija
ResolverRAT naudoja DLL šoninį įkėlimą, kad pradėtų savo infekcijos grandinę. Pirmajame etape naudojamas atmintyje esantis įkroviklis, kad iššifruotų ir paleistų pirminę naudingąją apkrovą, kuri yra užšifruota, suglaudinta ir niekada neįrašoma į diską. Šie metodai leidžia jo nepastebėti tradicinių saugos priemonių.
Atsparumas per atleidimą
Ši kenkėjiška programa priklauso ne tik nuo slaptumo – ji sukurta siekiant išgyventi. „ResolverRAT“ naudoja kelių etapų įkrovos procesą su pertekliniais patvarumo mechanizmais, įterpdamas save įvairiose „Windows“ failų sistemos ir registro vietose. Taip užtikrinama, kad net pašalinus dalį kenkėjiškų programų, ji gali atsinaujinti.
Išplėstinė C2 infrastruktūra: slepiasi matomoje vietoje
Suaktyvinus, „ResolverRAT“ inicijuoja sertifikatu pagrįstą autentifikavimą, kad galėtų susisiekti su savo komandų ir valdymo (C2) serveriu ir apeiti šakninės valdžios patvirtinimą. Jame netgi yra IP rotacija, kad būtų galima perjungti C2 serverius, jei vienas išjungtas, o tai dar labiau apsunkina aptikimo ir pašalinimo pastangas.
Vengimo meistriškumas: nematomas, bet esamas
Kad liktų po radaru, „ResolverRAT“ naudoja sertifikatų prisegimą, šaltinio kodo užmaskavimą ir netaisyklingus švyturių modelius. Šie metodai ne tik paslepia jų buvimą, bet ir nugali standartinius apsaugos sistemose naudojamus aptikimo būdus.
Tylus duomenų išfiltravimas
Pagrindinis kenkėjiškos programos tikslas yra gauti komandas iš C2 serverio ir išfiltruoti duomenis. Jis sumaniai padalija didelius duomenų failus į 16 KB dalis, sumažindamas tinklo stebėjimo įrankių aptikimo riziką.
Priskyrimas vis dar neaiškus, bet atsiranda modelių
Nors atakos kampanija lieka nepriskirta, infrastruktūros, temų ir metodų panašumai, ypač DLL šoninio įkėlimo ir sukčiavimo vilionių naudojimas, rodo galimą ryšį su anksčiau dokumentuotais išpuoliais. Šis sutapimas gali reikšti bendrą filialų tinklą arba koordinuotą grėsmės subjekto veiklą.
Išvada: nuolatinė, vengiama kibernetinė grėsmė
„ResolverRAT“ yra naujos kartos kenkėjiškų programų pavyzdys – slapta, prisitaikanti ir atspari. Jo dizainas atspindi sudėtingą šiuolaikinės kibernetinio saugumo gynybos supratimą, todėl jis kelia didžiulę grėsmę tikslinėms pramonės šakoms ir kelia didelį susirūpinimą gynėjams.
