ResolverRAT ļaunprātīga programmatūra
Kiberdrošības pētnieki ir identificējuši izsmalcinātu attālās piekļuves Trojas zirgu ar nosaukumu ResolverRAT, kas tiek aktīvi izmantots uzbrukumos, kuru mērķis ir veselības aprūpes un farmācijas nozare. Šī jaunatklātā ļaunprogrammatūra rada nopietnu risku tās slepenās uzvedības un sarežģīto infekcijas mehānismu dēļ.
Satura rādītājs
Pikšķerēšanas taktika: bailes kā ierocis
Kampaņa sākas ar bailēm izraisošiem pikšķerēšanas e-pastiem, kas izstrādāti, lai mudinātu adresātus steidzami noklikšķināt uz ļaunprātīgas saites. Šie mānekļi bieži norāda uz juridiskām problēmām vai autortiesību pārkāpumiem, lai radītu paniku un izraisītu pārsteidzīgu reakciju. Pēc noklikšķināšanas saite ved uz faila lejupielādi, kas uzsāk ResolverRAT infekcijas ķēdi.
Reģionam specifiska maldināšana
Šīs kampaņas izcils elements ir lokalizēta pikšķerēšanas satura izmantošana. E-pasta ziņojumi tiek rakstīti mērķa reģionu dzimtajās valodās — hindi, itāļu, čehu, turku, portugāļu un indonēziešu —, uzsverot uzbrucēju nolūku palielināt infekcijas izplatību, izmantojot reģionam atbilstošu pielāgošanu.
Infekcijas mehānika: slepena ķēdes reakcija
ResolverRAT izmanto DLL sānu ielādi, lai uzsāktu infekcijas ķēdi. Pirmajā posmā tiek izmantots atmiņā esošais ielādētājs, lai atšifrētu un palaistu primāro lietderīgo slodzi, kas ir šifrēta, saspiesta un nekad netiek ierakstīta diskā. Šīs metodes ļauj to nepamanīt tradicionālajiem drošības rīkiem.
Izturība caur atlaišanu
Šī ļaunprogrammatūra nepaļaujas tikai uz slēpšanu — tā ir izstrādāta, lai nodrošinātu izdzīvošanu. ResolverRAT izmanto daudzpakāpju sāknēšanas procesu ar liekiem noturības mehānismiem, iegulstot sevi dažādās Windows failu sistēmas un reģistra vietās. Tas nodrošina, ka pat tad, ja daļa ļaunprātīgas programmatūras tiek noņemta, tā var atjaunoties.
Uzlabota C2 infrastruktūra: slēpšanās redzamā vietā
Kad tas ir aktivizēts, ResolverRAT sāk uz sertifikātiem balstītu autentifikāciju, lai sazinātos ar savu Command-and-Control (C2) serveri, izvairoties no saknes autoritātes validācijas. Tas pat piedāvā IP rotāciju, lai pārslēgtu C2 serverus, ja kāds tiek demontēts, vēl vairāk sarežģījot noteikšanu un noņemšanu.
Izvairīšanās meistarība: neredzams, bet klātesošs
Lai paliktu pakļauts radaram, ResolverRAT izmanto sertifikātu piespraušanu, avota koda aptumšošanu un neregulārus bākugunis. Šīs metodes ne tikai slēpj to klātbūtni, bet arī pārspēj standarta noteikšanas metodes, ko izmanto drošības sistēmās.
Klusa datu eksfiltrācija
Ļaunprātīgas programmatūras galvenais mērķis ir saņemt komandas no C2 servera un izfiltrēt datus. Tas gudri sadala lielus datu failus 16 KB gabalos, samazinot tīkla uzraudzības rīku atklāšanas risku.
Attiecinājums joprojām nav skaidrs, taču parādās modeļi
Lai gan uzbrukuma kampaņa joprojām netiek attiecināta, infrastruktūras, motīvu un paņēmienu līdzības, jo īpaši DLL sānu ielādes un pikšķerēšanas vilinājumu izmantošana, liecina par iespējamu saikni ar iepriekš dokumentētiem uzbrukumiem. Šī pārklāšanās var norādīt uz kopīgu saistīto tīklu vai koordinētu apdraudējuma dalībnieku darbību.
Secinājums: pastāvīgs, izvairīgs kiberdrauds
ResolverRAT ir nākamās paaudzes ļaunprātīgas programmatūras piemērs — slēpta, adaptīva un izturīga. Tā dizains atspoguļo izsmalcinātu izpratni par mūsdienu kiberdrošības aizsardzību, padarot to par milzīgu draudu mērķnozarēm un par augstu aizsardzības prioritāti.
