Oprogramowanie złośliwe ResolverRAT
Badacze cyberbezpieczeństwa zidentyfikowali zaawansowanego trojana zdalnego dostępu o nazwie ResolverRAT, który jest aktywnie używany w atakach na sektory opieki zdrowotnej i farmaceutycznej. To nowo odkryte złośliwe oprogramowanie stanowi poważne zagrożenie ze względu na swoje ukryte zachowanie i złożone mechanizmy infekcji.
Spis treści
Taktyki phishingu: strach jako broń
Kampania zaczyna się od wywołujących strach wiadomości phishingowych, stworzonych w celu skłonienia odbiorców do pilnego kliknięcia złośliwego linku. Te przynęty często odnoszą się do problemów prawnych lub naruszeń praw autorskich, zaprojektowane w celu wywołania paniki i wywołania pochopnej reakcji. Po kliknięciu link prowadzi do pobrania pliku, który inicjuje łańcuch infekcji ResolverRAT.
Oszustwo specyficzne dla regionu
Wyróżniającym się elementem tej kampanii jest wykorzystanie zlokalizowanych treści phishingowych. E-maile są pisane w językach ojczystych docelowych regionów — hindi, włoskim, czeskim, tureckim, portugalskim i indonezyjskim — podkreślając intencję atakujących, aby zwiększyć skuteczność infekcji poprzez dostosowywanie do regionu.
Mechanika infekcji: ukryta reakcja łańcuchowa
ResolverRAT wykorzystuje boczne ładowanie DLL, aby rozpocząć łańcuch infekcji. Pierwszy etap wykorzystuje ładowarkę w pamięci do odszyfrowania i uruchomienia głównego ładunku, który jest szyfrowany, kompresowany i nigdy nie jest zapisywany na dysku. Te techniki pozwalają mu pozostać niewykrytym przez tradycyjne narzędzia bezpieczeństwa.
Odporność poprzez redundancję
To złośliwe oprogramowanie nie polega tylko na ukryciu — jest zbudowane z myślą o przetrwaniu. ResolverRAT używa wieloetapowego procesu bootstrappingu z redundantnymi mechanizmami trwałości, osadzając się w różnych lokalizacjach w systemie plików Windows i rejestrze. Zapewnia to, że nawet jeśli część złośliwego oprogramowania zostanie usunięta, może się ono ponownie ustanowić.
Zaawansowana infrastruktura C2: ukrywanie się na widoku
Po aktywacji ResolverRAT inicjuje uwierzytelnianie oparte na certyfikacie, aby komunikować się ze swoim serwerem Command-and-Control (C2), omijając walidację głównego urzędu. Oferuje nawet rotację IP, aby przełączać serwery C2, jeśli jeden z nich zostanie wyłączony, co jeszcze bardziej komplikuje wykrywanie i usuwanie.
Mistrzostwo uników: niewidzialne, ale obecne
Aby pozostać niezauważonym, ResolverRAT wykorzystuje przypinanie certyfikatów, zaciemnianie kodu źródłowego i nieregularne wzorce sygnalizacji. Te metody nie tylko ukrywają swoją obecność, ale także pokonują standardowe techniki wykrywania stosowane w systemach bezpieczeństwa.
Cicha eksfiltracja danych
Głównym celem malware jest otrzymywanie poleceń z serwera C2 i eksfiltracja danych. Sprytnie dzieli duże pliki danych na fragmenty o rozmiarze 16 KB, zmniejszając ryzyko wykrycia przez narzędzia do monitorowania sieci.
Atrybucja nadal niejasna, ale pojawiają się pewne wzorce
Chociaż kampania ataku pozostaje nieprzypisana, podobieństwa w infrastrukturze, motywach i technikach — zwłaszcza wykorzystanie bocznego ładowania DLL i przynęt phishingowych — sugerują możliwy związek z wcześniej udokumentowanymi atakami. To nakładanie się może wskazywać na wspólną sieć partnerską lub skoordynowaną aktywność aktora zagrożenia.
Wnioski: Uporczywe, nieuchwytne zagrożenie cybernetyczne
ResolverRAT jest przykładem nowej generacji złośliwego oprogramowania — ukrytego, adaptacyjnego i odpornego. Jego projekt odzwierciedla wyrafinowane zrozumienie nowoczesnych zabezpieczeń cyberbezpieczeństwa, co czyni go potężnym zagrożeniem dla docelowych branż i priorytetem dla obrońców.
