新的恶意软件“ResolverRAT”以医疗保健和制药公司为目标，使用高级功能来窃取敏感数据。

Morphisec 公司的研究人员发现了一种名为 “ResolverRAT” 的新型恶意软件，它正将目标锁定为医疗保健和制药公司，并利用先进的功能来窃取敏感数据。

ResolverRAT 通过使用本地化语言和法律诱饵的网络钓鱼电子邮件进行传播。受害者下载恶意文件后，就会触发该恶意软件。这种多语言策略表明，这是一场全球性的、有针对性的活动，旨在提高在不同地区的感染成功率。

Morphisec 公司指出：“ResolverRAT 是一种新发现的远程访问木马，它融合了先进的内存执行技术、运行时的应用程序编程接口（API）和资源解析技术，以及分层躲避检测的技术。”“Morphisec 公司的研究人员将其命名为‘Resolver’，是因为它严重依赖运行时解析机制和动态资源处理技术，这使得静态和行为分析变得极为困难。”

就在 3 月 10 日还发现了 ResolverRAT 的活动踪迹，它采用了先进的内存中执行技术和躲避检测的策略。尽管它与 Rhadamanthys 和 Lumma RAT 恶意软件攻击活动有一些共同特征，但研究人员将其归为一个新的恶意软件家族，它很可能与共享的威胁行为者基础设施有关。

这场攻击活动背后的威胁行为者所采用的有效载荷传递机制，是利用 hpreader.exe 进行动态链接库（DLL）侧加载来触发感染，这与过去 Rhadamanthys 恶意软件的攻击方式如出一辙。在二进制文件、网络钓鱼主题和文件名方面的重叠现象表明，威胁行为者之间可能共享工具、基础设施，或者采用了一种协同的附属模式。

ResolverRAT 通过一个分多阶段的过程来运行，以躲避检测。第一阶段是一个加载器，它对有效载荷进行解密并执行，同时采用了反分析技术。有效载荷经过 AES-256 加密和压缩处理，攻击者将密钥存储为经过混淆处理的整数。解密后，恶意代码完全在内存中运行，以防止被进行静态分析。该恶意软件使用字符串混淆技术来躲避检测，并劫持.NET 资源解析器，在不触发安全工具的情况下注入恶意程序集。一个具有非顺序转换的复杂状态机进一步增加了分析的难度。ResolverRAT 还通过在多个位置（包括 Appdata、Program Files 和 User Startup 文件夹）创建多个注册表项和文件来确保其持续性。这种冗余机制确保即使某些维持运行的方法失效，恶意软件仍能保持活动状态。

ResolverRAT 支持基于证书的身份验证，以绕过 SSL 检查工具，在植入程序和命令与控制（C2）服务器之间创建一条专用的验证链。它还采用了具有 IP 地址轮换和故障转移能力的弹性 C2 基础设施。躲避检测的技术包括在标准端口上使用自定义协议、证书固定、广泛的代码混淆、不规律的连接模式，以及使用 Protocol Buffers 进行序列化数据交换，这些都使得检测和分析变得更加困难。

分析报告继续指出：“命令处理逻辑揭示了一个复杂的多线程架构，这种实现方式：

1.实施了强大的错误处理机制，以防止连接失败导致恶意软件崩溃；

2.使用一种长度前缀协议，即每个命令前面都有其大小信息；

3.在一个专用线程中处理每个接收到的命令。

威胁行为者使用母语编写的网络钓鱼电子邮件来攻击多个国家的用户，邮件内容常常提及法律调查或版权侵权问题，以此来增加可信度。威胁行为者的攻击目标国家包括：

1.土耳其（土耳其语）

2.捷克共和国

3.印度（印地语）

4.印度尼西亚

5.意大利（意大利语）

6.葡萄牙（葡萄牙语）

Morphisec 公司的报告中包含了针对这种威胁的入侵指标（IoCs）。