ResolverRAT恶意软件

通过Mezo在恶意软件, 远程管理工具

翻译为：

网络安全研究人员发现了一种名为 ResolverRAT 的复杂远程访问木马，该木马正积极被用于针对医疗保健和制药行业的攻击。由于其隐秘的行为和复杂的感染机制，这种新发现的恶意软件构成了严重的风险。

该活动始于制造恐慌的网络钓鱼邮件，旨在诱使收件人紧急点击恶意链接。这些诱饵通常涉及法律纠纷或版权侵权，旨在制造恐慌并激起快速反应。一旦点击该链接，就会下载一个文件，从而启动 ResolverRAT 感染链。

此次攻击活动的一大亮点是使用了本地化的钓鱼内容。电子邮件以目标地区的母语（印地语、意大利语、捷克语、土耳其语、葡萄牙语和印尼语）编写，凸显了攻击者通过针对特定地区的定制来提高感染成功率的意图。

ResolverRAT 使用 DLL 侧载技术来启动其感染链。第一阶段使用内存加载器解密并运行主要有效载荷，该有效载荷经过加密和压缩，并且永远不会写入磁盘。这些技术使其无法被传统安全工具检测到。

该恶意软件不仅依赖于隐身能力，更注重生存能力。ResolverRAT 使用多阶段引导过程，并配备冗余持久性机制，将自身嵌入 Windows 文件系统和注册表中的多个位置。这确保即使恶意软件的一部分被删除，它也能重新建立。

一旦激活，ResolverRAT 就会启动基于证书的身份验证，与其命令和控制 (C2) 服务器进行通信，从而绕过根权限验证。它甚至具有 IP 轮换功能，以便在一个 C2 服务器被关闭时切换服务器，这进一步增加了检测和清除工作的复杂性。

为了躲避雷达的侦测，ResolverRAT 利用了证书锁定、源代码混淆和不规则的信标模式。这些方法不仅能隐藏其存在，还能绕过安全系统中使用的标准检测技术。

该恶意软件的主要目标是接收来自 C2 服务器的命令并窃取数据。它巧妙地将大型数据文件拆分成 16 KB 的块，从而降低被网络监控工具检测到的风险。

虽然此次攻击活动尚未确定其发起者，但其基础设施、主题和技术（尤其是使用 DLL 侧载和钓鱼诱饵）的相似性暗示，它可能与之前记录的攻击活动存在关联。这种重叠可能表明存在共同的附属网络或协同的威胁行为者活动。

ResolverRAT 是下一代恶意软件的典型代表——隐秘性、自适应性和高弹性。其设计体现了对现代网络安全防御的深刻理解，使其成为目标行业的巨大威胁，也是防御者高度关注的重点。

搜索