针对全球制药和医疗机构的新Resolver RAT 恶意软件

admin
admin
admin
138544
文章
114
评论
2025年4月15日23:01:47评论2 views字数 2146阅读7分9秒阅读模式

针对全球制药和医疗机构的新Resolver RAT 恶意软件

一种名为“ResolverRAT”的新型远程访问木马(RAT)正在全球范围内用于攻击组织,最近针对医疗保健和制药行业的攻击中使用了该恶意木马软件。

ResolverRAT是通过钓鱼邮件分发的,这些邮件声称是针对与目标国家/地区匹配的语言定制的合法或侵犯版权的行为。

这些电子邮件包含一个下载合法可执行文件(“preader.exe”)的链接,该可执行文件用于使用反射DLL加载将ResolverRAT注入内存。

Morphisec发现了之前未记录的恶意软件,他指出Check PointCisco Talos最近的报告中记录了相同的钓鱼基础设施。

然而,这些报告强调了RhadamanthysLumma窃取者的分布,未能捕获到不同的ResolverRAT有效载荷。

ResolverRAT功能

ResolverRAT是一种完全在内存中运行的隐形威胁,同时它也会滥用NETResourceResolve”事件来加载恶意程序集,而不执行可能被标记为可疑的API调用。

Morphisec描述道:“这种资源解析程序劫持代表了恶意软件的最佳发展——利用被忽视的NET机制完全在托管内存中运行,避开了专注于Win32 API和文件系统操作的传统安全监控。”

研究人员报告说,ResolverRAT使用复杂的状态机来混淆控制流,使静态分析变得极其困难,通过对资源请求进行指纹识别来检测沙盒和分析工具。

即使它在调试工具存在的情况下执行,它使用误导性和冗余的代码,操作也会使分析复杂化。

该恶意软件通过在Windows注册表的多达20个位置添加XOR混淆密钥来确保持久性。同时,它还将自己添加到文件系统位置,如“Startup”、“Program Files”和“LocalAppData”。

针对全球制药和医疗机构的新Resolver RAT 恶意软件

基于注册表的持久性

来源:Morphisec

ResolverRAT尝试以随机间隔在预定的回调中连接,以逃避基于不规则信标模式的检测。

操作员发送的每个命令都在一个专用线程中处理,实现了并行任务执行,同时确保失败的命令不会使恶意软件崩溃。

尽管Morphisec没有深入研究ResolverRAT支持的命令,但它提到了用于大数据传输的分块机制的数据泄露功能。

具体来说,大于1MB的文件被分割成16KB的块,这有助于通过将恶意流量与正常模式混合来逃避检测。

针对全球制药和医疗机构的新Resolver RAT 恶意软件

将较大的文件分割成块

来源:Morphisec

在发送每个块之前,ResolverRAT会检查套接字是否已准备好写入,以防止拥塞或不稳定网络造成的错误。

该机制具有最佳的错误处理和数据恢复功能,从最后一个成功的块恢复传输。

Morphisec在意大利、捷克、印地语、土耳其语、葡萄牙语和印度尼西亚观察到网络钓鱼攻击,因此该恶意软件具有全球操作范围,可以扩展到更多国家。

相关文章:

Microsoft: New RAT malware used for crypto theft, reconnaissance(https://www.bleepingcomputer.com/news/security/microsoft-new-rat-malware-used-for-crypto-theft-reconnaissance/)

We Smell a (DC)Rat: Revealing a Sophisticated Malware Delivery Chain(https://www.bleepingcomputer.com/news/security/we-smell-a-dcrat-revealing-a-sophisticated-malware-delivery-chain/)

New Crocodilus malware steals Android users’ crypto wallet keys(https://www.bleepingcomputer.com/news/security/new-crocodilus-malware-steals-android-users-crypto-wallet-keys/)

Kidney dialysis firm DaVita hit by weekend ransomware attack(https://www.bleepingcomputer.com/news/security/kidney-dialysis-firm-davita-hit-by-weekend-ransomware-attack/)

US lab testing provider exposed health data of 1.6 million people(https://www.bleepingcomputer.com/news/security/us-lab-testing-provider-exposed-health-data-of-16-million-people/)

来源:

https://www.bleepingcomputer.com/news/security/new-resolverrat-malware-targets-pharma-and-healthcare-orgs-worldwide/

原文始发于微信公众号(IRTeam工业安全):针对全球制药和医疗机构的新Resolver RAT 恶意软件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月15日23:01:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   针对全球制药和医疗机构的新Resolver RAT 恶意软件https://cn-sec.com/archives/3961464.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息