Вредоносное ПО ResolverRAT
Исследователи кибербезопасности обнаружили сложный троян удаленного доступа под названием ResolverRAT, который активно используется в атаках, нацеленных на секторы здравоохранения и фармацевтики. Эта недавно обнаруженная вредоносная программа представляет серьезную опасность из-за своего скрытного поведения и сложных механизмов заражения.
Оглавление
Тактика фишинга: страх как оружие
Кампания начинается с вызывающих страх фишинговых писем, созданных для того, чтобы подтолкнуть получателей к срочному переходу по вредоносной ссылке. Эти приманки часто ссылаются на юридические проблемы или нарушения авторских прав, призванные посеять панику и спровоцировать поспешную реакцию. После нажатия ссылка ведет к загрузке файла, который инициирует цепочку заражения ResolverRAT.
Обман, специфичный для региона
Выдающимся элементом этой кампании является использование локализованного фишингового контента. Письма пишутся на родных языках целевых регионов — хинди, итальянском, чешском, турецком, португальском и индонезийском — что подчеркивает намерение злоумышленников повысить успешность заражения посредством адаптации под регион.
Механика заражения: скрытая цепная реакция
ResolverRAT использует загрузку DLL, чтобы запустить свою цепочку заражения. На первом этапе используется загрузчик в памяти для расшифровки и запуска основной полезной нагрузки, которая зашифрована, сжата и никогда не записывается на диск. Эти методы позволяют ему оставаться незамеченным традиционными средствами безопасности.
Устойчивость за счет избыточности
Эта вредоносная программа не просто полагается на скрытность — она создана для выживания. ResolverRAT использует многоступенчатый процесс самозагрузки с избыточными механизмами сохранения, внедряясь в различные места файловой системы Windows и реестра. Это гарантирует, что даже если часть вредоносной программы будет удалена, она сможет восстановиться.
Расширенная инфраструктура C2: скрывается на виду
После активации ResolverRAT инициирует аутентификацию на основе сертификатов для связи со своим сервером Command-and-Control (C2), обходя проверку полномочий root. Он даже включает ротацию IP для переключения серверов C2, если один из них отключается, что еще больше усложняет усилия по обнаружению и удалению.
Мастерство уклонения: невидимо, но присутствует
Чтобы оставаться незамеченным, ResolverRAT использует закрепление сертификатов, обфускацию исходного кода и нерегулярные шаблоны маяков. Эти методы не только скрывают свое присутствие, но и обходят стандартные методы обнаружения, используемые в системах безопасности.
Тихая утечка данных
Основная цель вредоносного ПО — получать команды от сервера C2 и извлекать данные. Он ловко разбивает большие файлы данных на фрагменты по 16 КБ, что снижает риск обнаружения средствами сетевого мониторинга.
Атрибуция пока не ясна, но закономерности проступают
Хотя кампания атаки остается неатрибутированной, сходство в инфраструктуре, темах и методах — особенно использование DLL side-loading и фишинговых приманок — намекает на возможную связь с ранее задокументированными атаками. Это совпадение может указывать на общую партнерскую сеть или скоординированную деятельность субъектов угроз.
Заключение: постоянная, неуловимая киберугроза
ResolverRAT является примером следующего поколения вредоносного ПО — скрытного, адаптивного и устойчивого. Его дизайн отражает глубокое понимание современных средств кибербезопасности, что делает его серьезной угрозой для целевых отраслей и приоритетной проблемой для защитников.
