一种新型复杂的远程访问木马 (RAT) 已成为全球医疗保健和制药组织面临的重大威胁。

这种被称为 ResolverRAT 的恶意软件之前从未被记录过，它采用先进的内存执行技术和分层规避方法来窃取敏感数据，同时几乎无法被传统安全解决方案检测到。

ResolverRAT 于 2025 年 3 月 10 日首次被发现，它代表了恶意软件设计的演变，它能够完全在内存中运行，留下极少的取证痕迹。

攻击媒介主要包括针对特定地区的高度本地化的网络钓鱼活动。

这些活动发送以多种语言编写的电子邮件，包括捷克语、印地语、印尼语、意大利语、葡萄牙语和土耳其语，最大限度地提高全球医疗机构的潜在感染率。

网络钓鱼诱饵通常采用基于恐惧的策略，经常声称会产生法律后果或侵犯版权，迫使收件人下载看似合法的可执行文件。

PolySwarm 分析师发现了该恶意软件逃避检测的独特方法，并指出尽管与 Rhadamanthys 和 Lumma 等已知威胁共享一些基础设施，但 ResolverRAT 独特的加载器和有效载荷架构证明其被归类为一个独特的恶意软件家族。

研究人员强调了该威胁的复杂设计，由于其新颖的逃避技术，将其描述为“恶意软件进化的最佳形式”。

该恶意软件采用多层混淆和加密来保护其有效载荷和通信。

ResolverRAT 利用 CBC 模式下的 AES-256 加密以及动态生成的密钥和初始化向量，确保其恶意代码对安全工具保持隐藏。

进一步的保护来自 GZip 压缩和仅内存的执行模型，该模型可最大限度地减少防病毒解决方案通常针对的基于磁盘的工件。

深入探究感染机制

ResolverRAT 的感染链堪称规避恶意软件设计的典范。最初的钓鱼邮件诱使用户下载看似合法的应用程序后，该恶意软件会利用DLL 侧载技术将其恶意代码注入受信任的进程。

然后，加载程序在 RunVisibleHandler() 方法中启动一个复杂的解密例程，采用具有控制流平坦化的状态机来阻止静态分析。

ResolverRAT 特别阴险的原因在于它利用了 .NET ResourceResolve 事件。

该技术允许恶意软件拦截合法资源请求并注入恶意程序集，而无需修改 PE 标头或调用可疑 API。

有效载荷解密过程使用在运行时解码的混淆整数，这使得静态检测几乎不可能。请考虑此过程的简化表示：

// ResolverRAT's obfuscated key decoding mechanism
private byte[] DecodeKey(int[] encodedIntegers)
{
    byte[] result = new byte[encodedIntegers.Length * 4];
    for (int i = 0; i < encodedIntegers.Length; i++)
    {
        int value = encodedIntegers[i] ^ 0x8A7F6D2E; // XOR with constant
        BitConverter.GetBytes(value).CopyTo(result, i * 4);
    }
    return result;
}

感染通过创建分布在多个位置的多达 20 个混淆的注册表项来实现持久性，即使某些条目被发现和删除，也能确保存活能力。

命令和控制基础设施采用证书固定和并行信任系统来绕过 SSL 检查，而 IP 轮换可以在主服务器中断时维持连接。