一种名为“ResolverRAT”的新型远程访问木马（RAT）正被用于攻击全球的组织，发现该恶意软件最近被用于针对医疗保健和制药行业的攻击。

ResolverRAT通过网络钓鱼邮件传播，违反法律或版权，根据目标国家的语言量身定制。电子邮件包含下载合法可执行文件（'hpreader.exe'）的链接，该链接利用反射DLL加载将ResolverRAT注入内存。

Morphisec发现了之前未记录的恶意软件，他们指出，Check Point和Cisco Talos最近的报告中也记录了相同的网络钓鱼基础设施。

然而，这些报告强调了Rhadamanthys和Lumma窃取者的分布，未能捕获独特的ResolverRAT有效载荷。

ResolverRAT功能

ResolverRAT是一个完全在内存中运行的隐形威胁，同时它还滥用 net ‘ resourcerresolve ’事件来加载恶意程序集，而不执行可能被标记为可疑的API调用。

“这种资源解析器劫持代表了恶意软件的最佳进化——利用一个被忽视的。net机制完全在托管内存中运行，绕过了传统的安全监控，重点是Win32 API和文件系统操作，”Morphisec描述道。

研究人员报告说，ResolverRAT使用复杂的状态机来混淆控制流，使静态分析变得极其困难，通过识别资源请求来检测沙箱和分析工具。

即使它在调试工具的存在下执行，它对误导和冗余代码/操作的使用也会使分析复杂化。

该恶意软件通过在Windows注册表中最多20个位置添加xor混淆键来确保持久性。同时，它还将自己添加到文件系统位置，如“Startup”、“Program Files”和“LocalAppData”。

基于注册的持久性

ResolverRAT尝试以随机间隔在计划回调时进行连接，以逃避基于不规则信标模式的检测。

操作员发送的每个命令都在专用线程中处理，在确保失败的命令不会使恶意软件崩溃的同时，启用并行任务执行。

虽然Morphisec没有深入研究ResolverRAT支持的命令，但它提到了数据泄露功能，该功能具有用于大数据传输的分块机制。

具体来说，大于1MB的文件被分成16KB的块，这样可以通过将恶意流量与正常流量混合来逃避检测。

将较大的文件分成小块

在发送每个块之前，ResolverRAT检查套接字是否好写，防止拥塞或网络不稳定导致的错误。该机制具有最佳的错误处理和数据恢复功能，从最后一个成功的块恢复传输。

Morphisec在意大利、捷克、印度、土耳其、葡萄牙和印度尼西亚观察到网络钓鱼攻击，因此该恶意软件具有全球操作范围，可以扩展到更多国家。

参考及来源：https://www.bleepingcomputer.com/news/security/new-resolverrat-malware-targets-pharma-and-healthcare-orgs-worldwide/