ResolverRAT惡意軟體

惡意軟體, 遠端管理工具年Mezo年

翻譯為：

網路安全研究人員發現了一種名為 ResolverRAT 的複雜遠端存取木馬，該木馬正被用於針對醫療保健和製藥行業的攻擊。這種新發現的惡意軟體由於其隱密的行為和複雜的感染機製而構成了嚴重的風險。

該活動始於引發恐懼的網路釣魚電子郵件，旨在促使收件者緊急點擊惡意連結。這些誘餌通常涉及法律問題或版權侵犯，旨在製造恐慌並激起人們的倉促反應。一旦點擊該鏈接，就會下載一個文件，從而啟動 ResolverRAT 感染鏈。

這次活動的一個突出特點是使用在地化的網路釣魚內容。電子郵件以目標地區的母語（印地語、義大利語、捷克語、土耳其語、葡萄牙語和印尼語）編寫，突顯了攻擊者透過針對特定地區的客製化來提高感染成功率的意圖。

ResolverRAT 採用 DLL 側載來啟動其感染鏈。第一階段使用記憶體載入器解密並運行主要有效載荷，該有效載荷經過加密、壓縮，並且從未寫入磁碟。這些技術使其無法被傳統安全工具偵測到。

這種惡意軟體不僅依賴隱身能力，它還注重生存能力。 ResolverRAT 使用具有冗餘持久機制的多階段引導流程，將其嵌入到 Windows 檔案系統和登錄的各個位置。這確保了即使部分惡意軟體被刪除，它也可以重新建立。

一旦激活，ResolverRAT 就會啟動基於憑證的身份驗證，以便與其命令和控制 (C2) 伺服器進行通信，從而繞過根權限驗證。它甚至具有 IP 輪換功能，當一個 C2 伺服器關閉時，可以切換該伺服器，這進一步增加了檢測和關閉工作的複雜性。

為了不被發現，ResolverRAT 利用憑證固定、原始碼混淆和不規則信標模式。這些方法不僅隱藏了它們的存在，而且還破壞了安全系統中使用的標準檢測技術。

該惡意軟體的主要目標是從 C2 伺服器接收命令並竊取資料。它巧妙地將大數據檔案分割成 16 KB 的區塊，從而降低了被網路監控工具偵測到的風險。

儘管此次攻擊活動的發起者尚未確定，但其基礎設施、主題和技術（尤其是使用 DLL 側載和網路釣魚誘餌）的相似性暗示可能與先前記錄的攻擊存在聯繫。這種重疊可能表明存在共享的附屬網路或協調的威脅行為者活動。

ResolverRAT 是下一代惡意軟體的典型代表——隱密、自適應、有彈性。它的設計體現了對現代網路安全防禦的深刻理解，使其成為目標產業的巨大威脅，也是防禦者高度關注的問題。

搜索