มัลแวร์ ResolverRAT

นักวิจัยด้านความปลอดภัยไซเบอร์ได้ระบุโทรจันการเข้าถึงระยะไกลที่ซับซ้อนชื่อ ResolverRAT ซึ่งกำลังถูกใช้ในการโจมตีที่กำหนดเป้าหมายไปที่ภาคส่วนการดูแลสุขภาพและเภสัชกรรม มัลแวร์ที่เพิ่งค้นพบใหม่นี้ก่อให้เกิดความเสี่ยงร้ายแรงเนื่องจากมีพฤติกรรมแอบแฝงและกลไกการติดเชื้อที่ซับซ้อน

กลวิธีฟิชชิ่ง: ความกลัวเป็นอาวุธ

แคมเปญเริ่มต้นด้วยอีเมลฟิชชิ่งที่สร้างความหวาดกลัว ซึ่งออกแบบมาเพื่อผลักดันผู้รับให้คลิกลิงก์ที่เป็นอันตรายโดยด่วน อีเมลล่อลวงเหล่านี้มักอ้างถึงปัญหาทางกฎหมายหรือการละเมิดลิขสิทธิ์ ซึ่งออกแบบมาเพื่อสร้างความตื่นตระหนกและกระตุ้นให้เกิดปฏิกิริยาที่รีบร้อน เมื่อคลิกแล้ว ลิงก์จะนำไปสู่การดาวน์โหลดไฟล์ที่เริ่มต้นห่วงโซ่การติดเชื้อ ResolverRAT

การหลอกลวงเฉพาะภูมิภาค

องค์ประกอบที่โดดเด่นในแคมเปญนี้คือการใช้เนื้อหาฟิชชิ่งเฉพาะพื้นที่ อีเมลเขียนด้วยภาษาพื้นเมืองของภูมิภาคเป้าหมาย ได้แก่ ฮินดี อิตาลี เช็ก ตุรกี โปรตุเกส และอินโดนีเซีย ซึ่งเน้นย้ำถึงเจตนาของผู้โจมตีที่จะเพิ่มโอกาสสำเร็จในการติดเชื้อผ่านการปรับแต่งตามภูมิภาค

กลไกการติดเชื้อ: ปฏิกิริยาลูกโซ่ที่แอบแฝง

ResolverRAT ใช้การโหลด DLL จากด้านข้างเพื่อเริ่มต้นห่วงโซ่การติดเชื้อ ขั้นตอนแรกใช้ตัวโหลดในหน่วยความจำเพื่อถอดรหัสและเรียกใช้เพย์โหลดหลัก ซึ่งจะถูกเข้ารหัส บีบอัด และจะไม่ถูกเขียนลงดิสก์ เทคนิคเหล่านี้ทำให้เครื่องมือรักษาความปลอดภัยแบบเดิมไม่สามารถตรวจจับได้

ความยืดหยุ่นผ่านการเลิกจ้าง

มัลแวร์ตัวนี้ไม่ได้อาศัยแค่การแอบซ่อนเท่านั้น แต่ยังถูกสร้างมาเพื่อการเอาตัวรอดอีกด้วย ResolverRAT ใช้กระบวนการบูตสแตรปหลายขั้นตอนพร้อมกลไกการคงอยู่ซ้ำซ้อน โดยฝังตัวเองในตำแหน่งต่างๆ บนระบบไฟล์และรีจิสทรีของ Windows วิธีนี้ช่วยให้มั่นใจได้ว่าแม้ว่าจะลบส่วนหนึ่งของมัลแวร์ออกไปแล้ว มัลแวร์ก็สามารถสร้างตัวเองขึ้นมาใหม่ได้

โครงสร้างพื้นฐาน C2 ขั้นสูง: ซ่อนอยู่ในที่ที่มองเห็นชัดเจน

เมื่อเปิดใช้งานแล้ว ResolverRAT จะเริ่มการตรวจสอบสิทธิ์โดยใช้ใบรับรองเพื่อสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) โดยหลีกเลี่ยงการตรวจสอบสิทธิ์ของรูท นอกจากนี้ ยังมีการหมุนเวียน IP เพื่อสลับเซิร์ฟเวอร์ C2 หากมีการหยุดให้บริการ ทำให้การตรวจจับและการหยุดให้บริการมีความซับซ้อนมากขึ้น

ความเชี่ยวชาญการหลบเลี่ยง: มองไม่เห็นแต่มีอยู่

ResolverRAT ใช้ประโยชน์จากการตรึงใบรับรอง การบดบังโค้ดต้นฉบับ และรูปแบบการส่งสัญญาณที่ไม่ปกติ เพื่อหลีกเลี่ยงการถูกตรวจจับ วิธีการเหล่านี้ไม่เพียงแต่ซ่อนการมีอยู่ของข้อมูลเท่านั้น แต่ยังเอาชนะเทคนิคการตรวจจับมาตรฐานที่ใช้ในระบบรักษาความปลอดภัยอีกด้วย

การขโมยข้อมูลแบบเงียบ ๆ

วัตถุประสงค์หลักของมัลแวร์คือรับคำสั่งจากเซิร์ฟเวอร์ C2 และขโมยข้อมูล โดยมัลแวร์จะแบ่งไฟล์ข้อมูลขนาดใหญ่เป็นชิ้นขนาด 16 KB อย่างชาญฉลาด ซึ่งช่วยลดความเสี่ยงที่เครื่องมือตรวจสอบเครือข่ายจะตรวจจับได้

การระบุแหล่งที่มายังไม่ชัดเจน แต่รูปแบบก็ปรากฏขึ้น

แม้ว่าแคมเปญการโจมตีจะยังไม่ได้รับการระบุแหล่งที่มา แต่ความคล้ายคลึงกันในโครงสร้างพื้นฐาน ธีม และเทคนิค โดยเฉพาะการใช้การโหลด DLL จากแหล่งภายนอกและการล่อลวงฟิชชิ่ง บ่งชี้ถึงความเชื่อมโยงที่เป็นไปได้กับการโจมตีที่บันทึกไว้ก่อนหน้านี้ การทับซ้อนนี้สามารถชี้ไปที่เครือข่ายพันธมิตรที่ใช้ร่วมกันหรือกิจกรรมของผู้ก่อภัยคุกคามที่ประสานงานกัน

บทสรุป: ภัยคุกคามทางไซเบอร์ที่หลีกเลี่ยงไม่ได้และต่อเนื่อง

ResolverRAT เป็นตัวอย่างมัลแวร์รุ่นใหม่ที่ซ่อนเร้น ปรับตัวได้ และยืดหยุ่น การออกแบบของ ResolverRAT สะท้อนให้เห็นถึงความเข้าใจที่ซับซ้อนเกี่ยวกับการป้องกันความปลอดภัยทางไซเบอร์สมัยใหม่ ทำให้ ResolverRAT เป็นภัยคุกคามที่น่ากลัวสำหรับอุตสาหกรรมเป้าหมายและเป็นปัญหาที่มีความสำคัญสูงสำหรับผู้ป้องกัน