一种名为“ResolverRAT”的新型远程访问木马 (RAT) 正在全球范围内被用于攻击组织,最近的攻击中所使用的恶意软件针对的是医疗保健和制药行业。ResolverRAT 通过网络钓鱼电子邮件进行分发,这些电子邮件声称是针对目标国家/地区语言的合法内容或侵犯版权的行为。电子邮件包含下载合法可执行文件(“hpreader.exe”)的链接,该可执行文件利用反射 DLL 加载将 ResolverRAT 注入内存。Morphisec 发现了这种之前未记录的恶意软件,并指出 Check Point 和 Cisco Talos 最近的报告中也记录了相同的网络钓鱼基础设施。然而,这些报告强调了 Rhadamanthys 和 Lumma 窃取者的分布,未能捕获独特的 ResolverRAT 有效载荷。ResolverRAT 是一种完全在内存中运行的隐秘威胁,同时它还滥用 .NET“ResourceResolve”事件来加载恶意程序集,而无需执行可能被标记为可疑的 API 调用。Morphisec 描述道:“这种资源解析器劫持代表了恶意软件进化的最高境界——利用被忽视的 .NET 机制完全在托管内存中运行,规避了专注于 Win32 API 和文件系统操作的传统安全监控。”研究人员报告称,ResolverRAT 使用复杂的状态机来混淆控制流,使静态分析变得极其困难,通过指纹资源请求来检测沙盒和分析工具。即使在调试工具存在的情况下执行,其使用误导性和冗余的代码/操作也会使分析变得复杂。该恶意软件通过在 Windows 注册表中多达 20 个位置添加 XOR 混淆的密钥来确保持久性。同时,它还会将自身添加到“启动”、“Program Files”和“LocalAppData”等文件系统位置。ResolverRAT 尝试以随机间隔在预定的回调中进行连接,以逃避基于不规则信标模式的检测。
操作员发送的每个命令都在专用线程中处理,从而实现并行任务执行,同时确保失败的命令不会使恶意软件崩溃。
虽然 Morphisec 没有深入研究 ResolverRAT 支持的命令,但它提到了具有用于大数据传输的分块机制的数据泄露功能。
具体来说,大于 1MB 的文件会被分割成 16KB 的块,这样通过将恶意流量与正常模式混合,可以帮助逃避检测。
在发送每个块之前,ResolverRAT 都会检查套接字是否已准备好写入,以防止因网络拥塞或不稳定而导致的错误。该机制具有最佳的错误处理和数据恢复功能,可以从最后一个成功的块恢复传输。Morphisec 观察到意大利语、捷克语、印地语、土耳其语、葡萄牙语和印度尼西亚语中存在网络钓鱼攻击,因此该恶意软件具有全球操作范围,可以扩展到更多国家。 
还没有评论,来说两句吧...