ResolverRAT Malware
సైబర్ సెక్యూరిటీ పరిశోధకులు రిసల్వర్ రాట్ అనే అధునాతన రిమోట్ యాక్సెస్ ట్రోజన్ను గుర్తించారు, దీనిని ఆరోగ్య సంరక్షణ మరియు ఔషధ రంగాలను లక్ష్యంగా చేసుకుని దాడులలో చురుకుగా ఉపయోగిస్తున్నారు. కొత్తగా కనుగొనబడిన ఈ మాల్వేర్ దాని రహస్య ప్రవర్తన మరియు సంక్లిష్ట సంక్రమణ విధానాల కారణంగా తీవ్రమైన ప్రమాదాన్ని కలిగిస్తుంది.
విషయ సూచిక
ఫిషింగ్ వ్యూహాలు: ఆయుధంగా భయం
ఈ ప్రచారం భయాన్ని కలిగించే ఫిషింగ్ ఇమెయిల్లతో ప్రారంభమవుతుంది, గ్రహీతలను అత్యవసరంగా హానికరమైన లింక్ను క్లిక్ చేయమని నెట్టడానికి రూపొందించబడింది. ఈ ఆకర్షణలు తరచుగా చట్టపరమైన సమస్యలను లేదా కాపీరైట్ ఉల్లంఘనలను సూచిస్తాయి, భయాందోళనలను సృష్టించడానికి మరియు తొందరపాటు ప్రతిచర్యను రేకెత్తించడానికి రూపొందించబడ్డాయి. ఒకసారి క్లిక్ చేసిన తర్వాత, లింక్ రిసల్వర్రాట్ ఇన్ఫెక్షన్ గొలుసును ప్రారంభించే ఫైల్ డౌన్లోడ్కు దారితీస్తుంది.
ప్రాంత-నిర్దిష్ట మోసం
ఈ ప్రచారంలో ఒక ముఖ్యమైన అంశం స్థానికీకరించిన ఫిషింగ్ కంటెంట్ వాడకం. లక్ష్యంగా చేసుకున్న ప్రాంతాల స్థానిక భాషలలో ఈమెయిల్లు వ్రాయబడతాయి - హిందీ, ఇటాలియన్, చెక్, టర్కిష్, పోర్చుగీస్ మరియు ఇండోనేషియా - ఇది దాడి చేసేవారి ప్రాంతీయ-నిర్దిష్ట టైలరింగ్ ద్వారా సంక్రమణ విజయాన్ని పెంచే ఉద్దేశ్యాన్ని హైలైట్ చేస్తుంది.
ఇన్ఫెక్షన్ మెకానిక్స్: ఒక రహస్య గొలుసు చర్య
ResolverRAT దాని ఇన్ఫెక్షన్ గొలుసును తొలగించడానికి DLL సైడ్-లోడింగ్ను ఉపయోగిస్తుంది. మొదటి దశలో ప్రాథమిక పేలోడ్ను డీక్రిప్ట్ చేయడానికి మరియు అమలు చేయడానికి ఇన్-మెమరీ లోడర్ను ఉపయోగిస్తుంది, ఇది ఎన్క్రిప్ట్ చేయబడి, కంప్రెస్ చేయబడి, డిస్క్కు ఎప్పుడూ వ్రాయబడదు. ఈ పద్ధతులు సాంప్రదాయ భద్రతా సాధనాల ద్వారా గుర్తించబడకుండా ఉండటానికి వీలు కల్పిస్తాయి.
రిడెండెన్సీ ద్వారా స్థితిస్థాపకత
ఈ మాల్వేర్ కేవలం స్టెల్త్ పై ఆధారపడదు—ఇది మనుగడ కోసం నిర్మించబడింది. రిసల్వర్రాట్ అనవసరమైన పెర్సిస్టెన్స్ మెకానిజమ్లతో బహుళ-దశల బూట్స్ట్రాపింగ్ ప్రక్రియను ఉపయోగిస్తుంది, విండోస్ ఫైల్ సిస్టమ్ మరియు రిజిస్ట్రీలోని వివిధ స్థానాల్లో తనను తాను పొందుపరుస్తుంది. ఇది మాల్వేర్లో కొంత భాగాన్ని తొలగించినప్పటికీ, అది తనను తాను తిరిగి స్థాపించుకోగలదని నిర్ధారిస్తుంది.
అధునాతన C2 మౌలిక సదుపాయాలు: సాదా దృష్టిలో దాక్కున్నవి
ఒకసారి యాక్టివ్ అయిన తర్వాత, రిసల్వర్రాట్ దాని కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్తో కమ్యూనికేట్ చేయడానికి సర్టిఫికెట్-ఆధారిత ప్రామాణీకరణను ప్రారంభిస్తుంది, రూట్ అథారిటీ వాలిడేషన్ను పక్కదారి పట్టిస్తుంది. C2 సర్వర్లను తీసివేసినట్లయితే వాటిని మార్చడానికి ఇది IP భ్రమణాన్ని కూడా కలిగి ఉంటుంది, ఇది గుర్తింపు మరియు తొలగింపు ప్రయత్నాలను మరింత క్లిష్టతరం చేస్తుంది.
ఎగవేత నైపుణ్యం: కనిపించదు కానీ వర్తమానం
రాడార్ కింద ఉండటానికి, రిసల్వర్రాట్ సర్టిఫికెట్ పిన్నింగ్, సోర్స్ కోడ్ అస్పష్టత మరియు క్రమరహిత బీకనింగ్ నమూనాలను ఉపయోగిస్తుంది. ఈ పద్ధతులు వాటి ఉనికిని దాచడమే కాకుండా భద్రతా వ్యవస్థలలో ఉపయోగించే ప్రామాణిక గుర్తింపు పద్ధతులను కూడా ఓడిస్తాయి.
నిశ్శబ్ద డేటా తొలగింపు
ఈ మాల్వేర్ యొక్క ప్రాథమిక లక్ష్యం C2 సర్వర్ నుండి ఆదేశాలను స్వీకరించడం మరియు డేటాను బహిష్కరించడం. ఇది తెలివిగా పెద్ద డేటా ఫైళ్లను 16 KB భాగాలుగా విభజిస్తుంది, నెట్వర్క్ పర్యవేక్షణ సాధనాల ద్వారా గుర్తించే ప్రమాదాన్ని తగ్గిస్తుంది.
లక్షణం ఇప్పటికీ అస్పష్టంగా ఉంది, కానీ నమూనాలు ఉద్భవిస్తాయి
దాడి ప్రచారం ఇంకా ఆపాదించబడనప్పటికీ, మౌలిక సదుపాయాలు, థీమ్లు మరియు సాంకేతికతలలో సారూప్యతలు - ముఖ్యంగా DLL సైడ్-లోడింగ్ మరియు ఫిషింగ్ ఎరల వాడకం - గతంలో నమోదు చేయబడిన దాడులకు సంభావ్య లింక్ను సూచిస్తాయి. ఈ అతివ్యాప్తి భాగస్వామ్య అనుబంధ నెట్వర్క్ లేదా సమన్వయంతో కూడిన ముప్పు కారకుడి కార్యాచరణను సూచిస్తుంది.
ముగింపు: నిరంతర, తప్పించుకునే సైబర్ ముప్పు
రిసల్వర్రాట్ తరువాతి తరం మాల్వేర్కు ఉదాహరణగా నిలుస్తుంది - రహస్యంగా, అనుకూలతతో మరియు స్థితిస్థాపకంగా ఉంటుంది. దీని డిజైన్ ఆధునిక సైబర్ భద్రతా రక్షణల యొక్క అధునాతన అవగాహనను ప్రతిబింబిస్తుంది, ఇది లక్ష్యంగా చేసుకున్న పరిశ్రమలకు బలీయమైన ముప్పుగా మరియు రక్షకులకు అధిక ప్రాధాన్యత గల ఆందోళనగా మారుతుంది.
