新的ResolverRAT惡意軟件針對全球的制藥和醫(yī)療保健機構

一種名為“ResolverRAT”的新型遠程訪問木馬（RAT）正被用于攻擊全球的組織，發(fā)現(xiàn)該惡意軟件最近被用于針對醫(yī)療保健和制藥行業(yè)的攻擊。

ResolverRAT通過網(wǎng)絡釣魚郵件傳播，違反法律或版權，根據(jù)目標國家的語言量身定制。電子郵件包含下載合法可執(zhí)行文件（'hpreader.exe'）的鏈接，該鏈接利用反射DLL加載將ResolverRAT注入內(nèi)存。

Morphisec發(fā)現(xiàn)了之前未記錄的惡意軟件，他們指出，Check Point和Cisco Talos最近的報告中也記錄了相同的網(wǎng)絡釣魚基礎設施。

然而，這些報告強調(diào)了Rhadamanthys和Lumma竊取者的分布，未能捕獲獨特的ResolverRAT有效載荷。

ResolverRAT功能

ResolverRAT是一個完全在內(nèi)存中運行的隱形威脅，同時它還濫用 net‘resourcerresolve’事件來加載惡意程序集，而不執(zhí)行可能被標記為可疑的API調(diào)用。

“這種資源解析器劫持代表了惡意軟件的最佳進化——利用一個被忽視的。net機制完全在托管內(nèi)存中運行，繞過了傳統(tǒng)的安全監(jiān)控，重點是Win32 API和文件系統(tǒng)操作，”Morphisec描述道。

研究人員報告說，ResolverRAT使用復雜的狀態(tài)機來混淆控制流，使靜態(tài)分析變得極其困難，通過識別資源請求來檢測沙箱和分析工具。

即使它在調(diào)試工具的存在下執(zhí)行，它對誤導和冗余代碼/操作的使用也會使分析復雜化。

該惡意軟件通過在Windows注冊表中最多20個位置添加xor混淆鍵來確保持久性。同時，它還將自己添加到文件系統(tǒng)位置，如“Startup”、“Program Files”和“LocalAppData”。

基于注冊的持久性

ResolverRAT嘗試以隨機間隔在計劃回調(diào)時進行連接，以逃避基于不規(guī)則信標模式的檢測。

操作員發(fā)送的每個命令都在專用線程中處理，在確保失敗的命令不會使惡意軟件崩潰的同時，啟用并行任務執(zhí)行。

雖然Morphisec沒有深入研究ResolverRAT支持的命令，但它提到了數(shù)據(jù)泄露功能，該功能具有用于大數(shù)據(jù)傳輸?shù)姆謮K機制。

具體來說，大于1MB的文件被分成16KB的塊，這樣可以通過將惡意流量與正常流量混合來逃避檢測。

將較大的文件分成小塊

在發(fā)送每個塊之前，ResolverRAT檢查套接字是否好寫，防止擁塞或網(wǎng)絡不穩(wěn)定導致的錯誤。該機制具有最佳的錯誤處理和數(shù)據(jù)恢復功能，從最后一個成功的塊恢復傳輸。

Morphisec在意大利、捷克、印度、土耳其、葡萄牙和印度尼西亞觀察到網(wǎng)絡釣魚攻擊，因此該惡意軟件具有全球操作范圍，可以擴展到更多國家。

參考及來源：https://www.bleepingcomputer.com/news/security/new-resolverrat-malware-targets-pharma-and-healthcare-orgs-worldwide/

文章來源：https://mp.weixin.qq.com/s/z5w9hMTXfONa92FEFwNOLw