Phần mềm độc hại ResolverRAT
Các nhà nghiên cứu an ninh mạng đã xác định được một trojan truy cập từ xa tinh vi có tên là ResolverRAT, đang được sử dụng tích cực trong các cuộc tấn công nhắm vào các lĩnh vực chăm sóc sức khỏe và dược phẩm. Phần mềm độc hại mới được phát hiện này gây ra rủi ro nghiêm trọng do hành vi ẩn núp và cơ chế lây nhiễm phức tạp của nó.
Mục lục
Chiến thuật lừa đảo: Nỗi sợ hãi như một vũ khí
Chiến dịch bắt đầu bằng các email lừa đảo gây sợ hãi, được tạo ra để thúc đẩy người nhận nhấp vào liên kết độc hại một cách khẩn cấp. Những mồi nhử này thường liên quan đến các vấn đề pháp lý hoặc vi phạm bản quyền, được thiết kế để tạo ra sự hoảng loạn và kích động phản ứng vội vàng. Sau khi nhấp vào, liên kết sẽ dẫn đến việc tải xuống tệp khởi tạo chuỗi lây nhiễm ResolverRAT.
Lừa dối theo từng khu vực cụ thể
Một yếu tố nổi bật trong chiến dịch này là việc sử dụng nội dung lừa đảo cục bộ. Email được viết bằng ngôn ngữ bản địa của các khu vực mục tiêu—tiếng Hindi, tiếng Ý, tiếng Séc, tiếng Thổ Nhĩ Kỳ, tiếng Bồ Đào Nha và tiếng Indonesia—làm nổi bật ý định của kẻ tấn công là tăng khả năng lây nhiễm thông qua việc điều chỉnh theo từng khu vực cụ thể.
Cơ chế lây nhiễm: Một phản ứng dây chuyền bí ẩn
ResolverRAT sử dụng tải phụ DLL để khởi động chuỗi lây nhiễm của nó. Giai đoạn đầu tiên sử dụng trình tải trong bộ nhớ để giải mã và chạy tải trọng chính, được mã hóa, nén và không bao giờ được ghi vào đĩa. Các kỹ thuật này cho phép nó không bị phát hiện bởi các công cụ bảo mật truyền thống.
Khả năng phục hồi thông qua sự dư thừa
Phần mềm độc hại này không chỉ dựa vào khả năng tàng hình mà còn được xây dựng để có thể sống sót. ResolverRAT sử dụng quy trình khởi động nhiều giai đoạn với các cơ chế duy trì dự phòng, nhúng chính nó vào nhiều vị trí khác nhau trên hệ thống tệp Windows và Registry. Điều này đảm bảo rằng ngay cả khi một phần của phần mềm độc hại bị xóa, nó vẫn có thể tự thiết lập lại.
Cơ sở hạ tầng C2 tiên tiến: Ẩn mình trong tầm nhìn rõ ràng
Khi hoạt động, ResolverRAT khởi tạo xác thực dựa trên chứng chỉ để giao tiếp với máy chủ Command-and-Control (C2) của nó, bỏ qua xác thực quyền gốc. Nó thậm chí còn có tính năng xoay vòng IP để chuyển đổi máy chủ C2 nếu một máy chủ bị hạ gục, làm phức tạp thêm các nỗ lực phát hiện và hạ gục.
Thành thạo né tránh: Vô hình nhưng hiện hữu
Để ẩn mình, ResolverRAT tận dụng ghim chứng chỉ, mã nguồn được che giấu và các mẫu đèn hiệu bất thường. Các phương pháp này không chỉ ẩn sự hiện diện của chúng mà còn đánh bại các kỹ thuật phát hiện tiêu chuẩn được sử dụng trong các hệ thống bảo mật.
Rò rỉ dữ liệu thầm lặng
Mục tiêu chính của phần mềm độc hại là nhận lệnh từ máy chủ C2 và trích xuất dữ liệu. Nó khéo léo chia các tệp dữ liệu lớn thành các khối 16 KB, giảm nguy cơ bị các công cụ giám sát mạng phát hiện.
Sự quy kết vẫn chưa rõ ràng, nhưng các mẫu hình đã xuất hiện
Mặc dù chiến dịch tấn công vẫn chưa được xác định, nhưng những điểm tương đồng về cơ sở hạ tầng, chủ đề và kỹ thuật—đặc biệt là việc sử dụng DLL side-loading và mồi nhử lừa đảo—gợi ý về mối liên hệ có thể có với các cuộc tấn công đã được ghi nhận trước đó. Sự trùng lặp này có thể chỉ ra một mạng lưới liên kết chung hoặc hoạt động của tác nhân đe dọa được phối hợp.
Kết luận: Một mối đe dọa mạng dai dẳng và khó lường
ResolverRAT là ví dụ điển hình cho thế hệ phần mềm độc hại tiếp theo—tàng hình, thích ứng và phục hồi. Thiết kế của nó phản ánh sự hiểu biết tinh vi về các biện pháp phòng thủ an ninh mạng hiện đại, khiến nó trở thành mối đe dọa đáng gờm đối với các ngành công nghiệp mục tiêu và là mối quan tâm hàng đầu của những người bảo vệ.
