Шкідливе програмне забезпечення ResolverRAT
Дослідники з кібербезпеки ідентифікували складний троян віддаленого доступу під назвою ResolverRAT, який активно використовується в атаках, націлених на галузі охорони здоров’я та фармацевтику. Це нещодавно виявлене зловмисне програмне забезпечення становить серйозний ризик через свою приховану поведінку та складні механізми зараження.
Зміст
Тактика фішингу: страх як зброя
Кампанія починається з викликаючих страх фішингових електронних листів, створених, щоб підштовхнути одержувачів терміново натиснути шкідливе посилання. Ці спокуси часто посилаються на юридичні проблеми чи порушення авторських прав, щоб створити паніку та спровокувати поспішну реакцію. Після натискання посилання веде до завантаження файлу, який ініціює ланцюг зараження ResolverRAT.
Регіональний обман
Визначним елементом цієї кампанії є використання локалізованого фішингового вмісту. Електронні листи пишуться рідними мовами цільових регіонів — хінді, італійською, чеською, турецькою, португальською та індонезійською — підкреслюючи намір зловмисників збільшити успіх зараження за допомогою адаптації для конкретного регіону.
Механіка зараження: непомітна ланцюгова реакція
ResolverRAT використовує бічне завантаження DLL, щоб запустити ланцюжок зараження. На першому етапі використовується завантажувач у пам’яті для розшифровки та запуску основного корисного навантаження, яке шифрується, стискається та ніколи не записується на диск. Ці методи дозволяють залишатися непоміченим традиційними засобами безпеки.
Стійкість через резервування
Це зловмисне програмне забезпечення не просто покладається на стелс, воно створене для виживання. ResolverRAT використовує багатоетапний процес початкового завантаження з надлишковими механізмами збереження, вбудовуючи себе в різні місця файлової системи та реєстру Windows. Це гарантує, що навіть якщо частину шкідливого програмного забезпечення буде видалено, воно зможе відновити себе.
Розширена інфраструктура C2: ховайтеся на виду
Після активації ResolverRAT ініціює автентифікацію на основі сертифіката для зв’язку зі своїм сервером командування та керування (C2), обходячи перевірку кореневих повноважень. Він навіть підтримує ротацію IP-адрес для перемикання серверів C2, якщо один з них виведено з ладу, що ще більше ускладнює виявлення та видалення.
Майстерність ухилення: невидимий, але присутній
Щоб залишатися поза увагою, ResolverRAT використовує закріплення сертифікатів, обфускацію вихідного коду та нерегулярні шаблони маяків. Ці методи не тільки приховують свою присутність, але й перешкоджають стандартним методам виявлення, які використовуються в системах безпеки.
Безшумне викрадання даних
Основна мета зловмисного програмного забезпечення — отримувати команди від сервера C2 і викрадати дані. Він розумно розбиває великі файли даних на фрагменти по 16 КБ, зменшуючи ризик виявлення інструментами моніторингу мережі.
Атрибуція все ще неясна, але закономірності з’являються
Хоча кампанія атаки залишається невідомою, схожість в інфраструктурі, темах і техніках — особливо використання бокового завантаження DLL і фішингових приманок — натякає на можливий зв’язок із раніше задокументованими атаками. Це збіг може вказувати на спільну афілійовану мережу або скоординовану діяльність суб’єкта загрози.
Висновок: постійна кіберзагроза, яка ухиляється
ResolverRAT є прикладом наступного покоління зловмисного програмного забезпечення — прихованого, адаптивного та стійкого. Його дизайн відображає витончене розуміння сучасних засобів захисту кібербезпеки, що робить його серйозною загрозою для цільових галузей і першочерговою проблемою для захисників.