ResolverRAT Malware
साइबर सुरक्षा अनुसन्धानकर्ताहरूले ResolverRAT नामक एक परिष्कृत रिमोट एक्सेस ट्रोजन पहिचान गरेका छन्, जुन स्वास्थ्य सेवा र औषधि क्षेत्रहरूलाई लक्षित आक्रमणहरूमा सक्रिय रूपमा प्रयोग भइरहेको छ। यो भर्खरै पत्ता लागेको मालवेयरले यसको गोप्य व्यवहार र जटिल संक्रमण संयन्त्रका कारण गम्भीर जोखिम निम्त्याउँछ।
सामग्रीको तालिका
फिसिङ रणनीति: हतियारको रूपमा डर
अभियान डरलाग्दो फिसिङ इमेलहरूबाट सुरु हुन्छ, जुन प्राप्तकर्ताहरूलाई तुरुन्तै दुर्भावनापूर्ण लिङ्कमा क्लिक गर्न बाध्य पार्नको लागि बनाइएको हो। यी प्रलोभनहरूले प्रायः कानुनी समस्याहरू वा प्रतिलिपि अधिकार उल्लङ्घनहरूलाई सन्दर्भ गर्छन्, जुन आतंक सिर्जना गर्न र हतारमा प्रतिक्रिया जगाउन डिजाइन गरिएको हो। एक पटक क्लिक गरेपछि, लिङ्कले फाइल डाउनलोड गर्न नेतृत्व गर्दछ जसले ResolverRAT संक्रमण श्रृंखला सुरु गर्दछ।
क्षेत्र-विशिष्ट छल
यस अभियानको एउटा उल्लेखनीय तत्व भनेको स्थानीयकृत फिसिङ सामग्रीको प्रयोग हो। इमेलहरू लक्षित क्षेत्रहरूको मातृभाषाहरू - हिन्दी, इटालियन, चेक, टर्की, पोर्चुगिज र इन्डोनेसियाली - मा लेखिएका छन् जसले क्षेत्र-विशिष्ट टेलरिङ मार्फत संक्रमण सफलता बढाउने आक्रमणकारीहरूको मनसायलाई हाइलाइट गर्दछ।
संक्रमण मेकानिक्स: एक गोप्य श्रृंखला प्रतिक्रिया
ResolverRAT ले यसको संक्रमण शृङ्खला सुरु गर्न DLL साइड-लोडिङ प्रयोग गर्दछ। पहिलो चरणले प्राथमिक पेलोडलाई डिक्रिप्ट गर्न र चलाउन इन-मेमोरी लोडर प्रयोग गर्दछ, जुन इन्क्रिप्ट गरिएको, कम्प्रेस गरिएको, र डिस्कमा कहिल्यै लेखिएको हुँदैन। यी प्रविधिहरूले यसलाई परम्परागत सुरक्षा उपकरणहरूद्वारा पत्ता नलाग्न सक्षम बनाउँछ।
अनावश्यकता मार्फत लचिलोपन
यो मालवेयर केवल स्टिल्थमा भर पर्दैन - यो बाँच्नको लागि बनाइएको हो। ResolverRAT ले अनावश्यक दृढता संयन्त्रको साथ बहु-चरण बुटस्ट्र्यापिंग प्रक्रिया प्रयोग गर्दछ, Windows फाइल प्रणाली र रजिस्ट्रीमा विभिन्न स्थानहरूमा आफूलाई इम्बेड गर्दछ। यसले सुनिश्चित गर्दछ कि मालवेयरको भाग हटाइए पनि, यसले आफैलाई पुन: स्थापित गर्न सक्छ।
उन्नत C2 पूर्वाधार: सादा दृश्यमा लुकेको
एकपटक सक्रिय भएपछि, ResolverRAT ले यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरसँग सञ्चार गर्न प्रमाणपत्र-आधारित प्रमाणीकरण सुरु गर्छ, रूट अथॉरिटी प्रमाणीकरणलाई छेउछाउमा राख्छ। यदि कुनै सर्भर डाउन गरियो भने यसले C2 सर्भरहरू स्विच गर्न IP रोटेशन पनि सुविधा दिन्छ, जसले गर्दा पत्ता लगाउने र टेकडाउन प्रयासहरू अझ जटिल हुन्छन्।
चोरी निपुणता: अदृश्य तर वर्तमान
रडार मुनि रहनको लागि, ResolverRAT ले प्रमाणपत्र पिनिङ, स्रोत कोड अस्पष्टता, र अनियमित बीकनिङ ढाँचाहरूको प्रयोग गर्दछ। यी विधिहरूले आफ्नो उपस्थिति लुकाउने मात्र होइन तर सुरक्षा प्रणालीहरूमा प्रयोग हुने मानक पत्ता लगाउने प्रविधिहरूलाई पनि हराउँछन्।
मौन डेटा एक्सफिल्ट्रेसन
मालवेयरको प्राथमिक उद्देश्य C2 सर्भरबाट आदेशहरू प्राप्त गर्नु र डेटा निकाल्नु हो। यसले चलाखीपूर्वक ठूला डेटा फाइलहरूलाई १६ KB भागहरूमा विभाजन गर्दछ, जसले गर्दा नेटवर्क निगरानी उपकरणहरूद्वारा पत्ता लगाउने जोखिम कम हुन्छ।
विशेषता अझै अस्पष्ट छ, तर ढाँचाहरू देखा पर्छन्
आक्रमण अभियानलाई श्रेय नदिइए पनि, पूर्वाधार, विषयवस्तु र प्रविधिहरूमा समानताहरू - विशेष गरी DLL साइड-लोडिङ र फिसिङको प्रयोगले पहिले दस्तावेज गरिएका आक्रमणहरूको सम्भावित लिङ्कमा संकेत गर्दछ। यो ओभरल्यापले साझा सम्बद्ध नेटवर्क वा समन्वित खतरा अभिनेता गतिविधिलाई संकेत गर्न सक्छ।
निष्कर्ष: एक निरन्तर, टालटुल गर्ने साइबर खतरा
ResolverRAT ले मालवेयरको अर्को पुस्ताको उदाहरण दिन्छ - गुप्त, अनुकूलनीय, र लचिलो। यसको डिजाइनले आधुनिक साइबर सुरक्षा प्रतिरक्षाको परिष्कृत बुझाइलाई प्रतिबिम्बित गर्दछ, जसले यसलाई लक्षित उद्योगहरूको लागि एक भयानक खतरा र रक्षकहरूको लागि उच्च-प्राथमिकता चिन्ता बनाउँछ।
