РесолверРАТ Малваре
Истраживачи сајбер безбедности идентификовали су софистицирани тројанац за даљински приступ под називом РесолверРАТ, који се активно користи у нападима усмереним на здравствени и фармацеутски сектор. Овај новооткривени малвер представља озбиљан ризик због свог прикривеног понашања и сложених механизама инфекције.
Преглед садржаја
Фишинг тактике: Страх као оружје
Кампања почиње са пхисхинг порукама које изазивају страх, а које су направљене да подстакну примаоце да хитно кликну на злонамерну везу. Ови мамци често упућују на правне проблеме или кршење ауторских права, дизајнирани да изазову панику и изазову исхитрену реакцију. Када се кликне, веза води до преузимања датотеке која покреће ланац инфекције РесолверРАТ.
Обмана специфична за регион
Изванредан елемент у овој кампањи је употреба локализованог пхисхинг садржаја. Е-поруке су написане на матерњим језицима циљаних региона — хинду, италијанском, чешком, турском, португалском и индонежанском — истичући намеру нападача да повећају успех заразе кроз кројење специфично за регион.
Механика инфекције: прикривена ланчана реакција
РесолверРАТ користи ДЛЛ бочно учитавање да би покренуо свој ланац инфекције. Прва фаза користи учитавач у меморији за дешифровање и покретање примарног корисног оптерећења, које је шифровано, компримовано и никада није уписано на диск. Ове технике му омогућавају да остане неоткривен традиционалним безбедносним алатима.
Отпорност кроз редундантност
Овај злонамерни софтвер се не ослања само на прикривеност – он је направљен за преживљавање. РесолверРАТ користи вишестепени процес покретања са редундантним механизмима постојаности, уграђујући се на различите локације у систему датотека Виндовс и Регистри. Ово осигурава да чак и ако се део малвера уклони, он може поново да се успостави.
Напредна Ц2 инфраструктура: Скривање на видику
Једном када је активан, РесолверРАТ покреће аутентификацију засновану на сертификатима да би комуницирао са својим сервером за команду и контролу (Ц2), заобилазећи валидацију роот ауторитета. Чак има и ротацију ИП-а за пребацивање Ц2 сервера ако се један скине, што додатно компликује напоре у откривању и уклањању.
Овладавање избегавањем: невидљиво, али присутно
Да би остао испод радара, РесолверРАТ користи прикачење сертификата, замагљивање изворног кода и неправилне обрасце праћења сигнала. Ове методе не само да скривају своје присуство већ и побеђују стандардне технике детекције које се користе у сигурносним системима.
Тиха ексфилтрација података
Примарни циљ малвера је примање команди са Ц2 сервера и ексфилтрирање података. Он паметно дели велике датотеке са подацима у делове од 16 КБ, смањујући ризик од откривања помоћу алата за праћење мреже.
Атрибуција је још увек нејасна, али се појављују обрасци
Иако кампања напада остаје неприписана, сличности у инфраструктури, темама и техникама – посебно коришћење ДЛЛ бочног учитавања и пхисхинг мамаца – наговештавају могућу везу са претходно документованим нападима. Ово преклапање може указивати на заједничку придружену мрежу или координисану активност актера претњи.
Закључак: Упорна, избегавајућа сајбер претња
РесолверРАТ представља пример следеће генерације злонамерног софтвера – прикривеног, прилагодљивог и отпорног. Његов дизајн одражава софистицирано разумевање модерне одбране сајбер безбедности, што га чини огромном претњом циљаним индустријама и високоприоритетном бригом за браниоце.
