ResolverRAT 攻击活动通过网络钓鱼和 DLL 侧载攻击医疗保健和制药行业

网络安全研究人员发现一种名为 ResolverRAT 的新型复杂远程访问木马，该木马针对医疗保健和制药行业。

Morphisec Labs 研究员 Nadav Lorber 在一份报告中指出： “威胁组织利用钓鱼邮件传递的恐吓性诱饵，旨在迫使收件人点击恶意链接。一旦访问，该链接就会引导用户下载并打开一个文件，从而触发 ResolverRAT 执行链。”

该活动最近于 2025 年 3 月 10 日观察到，其基础设施和交付机制与去年Cisco Talos和Check Point记录的交付信息窃取恶意软件（如 Lumma 和 Rhadamanthys）的网络钓鱼活动重叠。

此次攻击活动的一个显著特点是使用了本地化的钓鱼诱饵，其电子邮件均采用目标国家/地区的主要语言编写，包括印地语、意大利语、捷克语、土耳其语、葡萄牙语和印尼语，这表明威胁组织试图通过针对特定地区的攻击来扩大攻击范围，从而最大限度地提高感染率。

电子邮件中的文本内容采用与法律调查或版权侵权相关的主题，旨在引起虚假的紧迫感并增加用户互动的可能性。

感染链的特点是使用 DLL 侧载技术来启动进程。第一阶段是一个内存加载器，它解密并执行主载荷，同时还融入了一系列技巧以躲避雷达的探测。ResolverRAT 载荷不仅使用加密和压缩，而且解码后仅存在于内存中。

“ResolverRAT 的初始化序列揭示了一个复杂的、多阶段的引导过程，该过程旨在实现隐身和弹性。”Lorber 表示，并补充说它通过 Windows 注册表和文件系统“实现了多种冗余持久性方法”，通过将自身安装在不同位置作为后备机制。

一旦启动，该恶意软件就会在与命令与控制 (C2) 服务器建立联系之前，利用定制的基于证书的身份验证，从而绕过计算机的根权限。它还实现了 IP 轮换系统，以便在主 C2 服务器不可用或被关闭时连接到备用 C2 服务器。

此外，ResolverRAT 还具备通过证书固定、源代码混淆和不规则信标模式向 C2 服务器规避检测的能力。

Morphisec 表示：“这种先进的 C2 基础设施展示了威胁行为者的先进能力，它结合了安全通信、回退机制和规避技术，旨在保持持续访问，同时逃避安全监控系统的检测。”

该恶意软件的最终目标是处理 C2 服务器发出的命令并窃取响应，将超过 1 MB 的数据分解为 16 KB 的块，以最大限度地减少被发现的机会。

尽管诱饵主题的相似性以及 DLL 侧载的使用与之前观察到的网络钓鱼攻击相似，暗示可能存在联系，但尚未将该活动归咎于特定团体或国家。

该公司表示：“这种一致性表明威胁组织的基础设施或行动手册可能存在重叠，这可能表明相关威胁团体之间存在共享的附属模式或协调活动。”

技术报告：

https://www.morphisec.com/blog/new-malware-variant-identified-resolverrat-enters-the-maze/

新闻链接：

https://thehackernews.com/2025/04/resolverrat-campaign-targets-healthcare.html

讲述普通人能听懂的安全故事