ResolverRAT skadelig programvare
Cybersikkerhetsforskere har identifisert en sofistikert fjerntilgangstrojaner kalt ResolverRAT, som brukes aktivt i angrep rettet mot helsevesenet og farmasøytisk sektor. Denne nyoppdagede skadevaren utgjør en alvorlig risiko på grunn av sin snikende oppførsel og komplekse infeksjonsmekanismer.
Innholdsfortegnelse
Phishing-taktikk: Frykt som et våpen
Kampanjen begynner med fryktfremkallende phishing-e-poster, laget for å presse mottakere til å raskt klikke på en ondsinnet lenke. Disse lokkene refererer ofte til juridiske problemer eller brudd på opphavsrett, designet for å skape panikk og provosere frem en forhastet reaksjon. Når den er klikket, fører koblingen til nedlasting av en fil som starter ResolverRAT-infeksjonskjeden.
Regionspesifikt bedrag
Et fremtredende element i denne kampanjen er bruken av lokalisert phishing-innhold. E-poster er skrevet på morsmålene til de målrettede regionene – hindi, italiensk, tsjekkisk, tyrkisk, portugisisk og indonesisk – og fremhever angripernes intensjon om å øke infeksjonssuksessen gjennom regionspesifikk skreddersøm.
Infeksjonsmekanikk: En snikende kjedereaksjon
ResolverRAT bruker DLL-sidelasting for å starte infeksjonskjeden. Det første trinnet bruker en minnelaster for å dekryptere og kjøre den primære nyttelasten, som er kryptert, komprimert og aldri skrevet til disk. Disse teknikkene gjør det mulig å forbli uoppdaget av tradisjonelle sikkerhetsverktøy.
Resiliens gjennom redundans
Denne skadevaren er ikke bare avhengig av sniking – den er bygd for overlevelse. ResolverRAT bruker en flertrinns oppstartsprosess med redundante utholdenhetsmekanismer, og bygger seg inn på forskjellige steder i Windows-filsystemet og registeret. Dette sikrer at selv om en del av skadelig programvare fjernes, kan den reetablere seg selv.
Avansert C2-infrastruktur: gjemmer seg i vanlig syn
Når den er aktiv, starter ResolverRAT sertifikatbasert autentisering for å kommunisere med Command-and-Control-serveren (C2), og omgår rotautoritetsvalidering. Den har til og med IP-rotasjon for å bytte C2-servere hvis en blir tatt ned, noe som ytterligere kompliserer deteksjon og fjerning.
Evasion Mastery: Usynlig, men tilstede
For å holde seg under radaren, utnytter ResolverRAT sertifikatfesting, kildekodeobfuskering og uregelmessige beaconing-mønstre. Disse metodene skjuler ikke bare deres tilstedeværelse, men bekjemper også standard deteksjonsteknikker som brukes i sikkerhetssystemer.
Stille dataeksfiltrering
Skadevarens primære mål er å motta kommandoer fra C2-serveren og eksfiltrere data. Den deler smart opp store datafiler i 16 KB-biter, noe som reduserer risikoen for oppdagelse av nettverksovervåkingsverktøy.
Attribusjon er fortsatt uklar, men mønstre dukker opp
Selv om angrepskampanjen forblir ubeskrevet, antyder likheter i infrastruktur, temaer og teknikker – spesielt bruken av DLL-sideinnlasting og phishing-lokker – en mulig kobling til tidligere dokumenterte angrep. Denne overlappingen kan peke på et delt tilknyttet nettverk eller koordinert trusselaktøraktivitet.
Konklusjon: En vedvarende, unnvikende cybertrussel
ResolverRAT eksemplifiserer neste generasjon skadevare – snikende, tilpasningsdyktige og spenstige. Designet reflekterer en sofistikert forståelse av moderne cybersikkerhetsforsvar, noe som gjør den til en formidabel trussel mot målrettede bransjer og en høyprioritert bekymring for forsvarere.
