安全客 前天 14:05
ResolverRAT 通过复杂的网络钓鱼攻击医疗保健和制药行业
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

一项新型复杂的远程访问木马(RAT)正在威胁全球医疗保健和制药组织。这种名为ResolverRAT的恶意软件,采用先进的内存执行和分层规避技术,窃取敏感数据,难以被传统安全方案检测。该恶意软件通过多语言网络钓鱼活动传播,诱使用户下载恶意文件。ResolverRAT利用DLL侧载、.NET ResourceResolve事件等技术,进行多层混淆和加密,确保恶意代码对安全工具保持隐藏。其感染链和持久化机制设计复杂,对医疗机构的信息安全构成严重威胁。

📧 ResolverRAT主要通过高度本地化的网络钓鱼活动传播,邮件内容使用多种语言,包括捷克语、印地语等,以扩大潜在感染范围。网络钓鱼诱饵通常采用恐吓策略,诱骗受害者下载看似合法的可执行文件。

💻 ResolverRAT采用先进的内存执行技术,在内存中运行,减少取证痕迹。它利用多层混淆和加密,包括AES-256加密和GZip压缩,隐藏其恶意代码。

⚙️ 感染链复杂,恶意软件通过DLL侧载技术将恶意代码注入受信任的进程。它利用.NET ResourceResolve事件拦截合法资源请求并注入恶意程序集,有效载荷解密过程使用运行时解码的混淆整数,增强了静态检测的难度。

🛡️ 为了实现持久化,ResolverRAT创建多达20个混淆的注册表项,即使部分被删除也能保持存活。其命令和控制基础设施采用证书固定和IP轮换,以绕过SSL检查,确保连接的稳定性。

一种新型复杂的远程访问木马 (RAT) 已成为全球医疗保健和制药组织面临的重大威胁。

这种被称为 ResolverRAT 的恶意软件之前从未被记录过,它采用先进的内存执行技术和分层规避方法来窃取敏感数据,同时几乎无法被传统安全解决方案检测到。

ResolverRAT 于 2025 年 3 月 10 日首次被发现,它代表了恶意软件设计的演变,它能够完全在内存中运行,留下极少的取证痕迹。

攻击媒介主要包括针对特定地区的高度本地化的网络钓鱼活动。

这些活动发送以多种语言编写的电子邮件,包括捷克语、印地语、印尼语、意大利语、葡萄牙语和土耳其语,最大限度地提高全球医疗机构的潜在感染率。

网络钓鱼诱饵通常采用基于恐惧的策略,经常声称会产生法律后果或侵犯版权,迫使收件人下载看似合法的可执行文件。

PolySwarm 分析师发现了该恶意软件逃避检测的独特方法,并指出尽管与 Rhadamanthys 和 Lumma 等已知威胁共享一些基础设施,但 ResolverRAT 独特的加载器和有效载荷架构证明其被归类为一个独特的恶意软件家族。

研究人员强调了该威胁的复杂设计,由于其新颖的逃避技术,将其描述为“恶意软件进化的最佳形式”。

该恶意软件采用多层混淆和加密来保护其有效载荷和通信。

ResolverRAT 利用 CBC 模式下的 AES-256 加密以及动态生成的密钥和初始化向量,确保其恶意代码对安全工具保持隐藏。

进一步的保护来自 GZip 压缩和仅内存的执行模型,该模型可最大限度地减少防病毒解决方案通常针对的基于磁盘的工件。

深入探究感染机制

ResolverRAT 的感染链堪称规避恶意软件设计的典范。最初的钓鱼邮件诱使用户下载看似合法的应用程序后,该恶意软件会利用DLL 侧载技术将其恶意代码注入受信任的进程。

然后,加载程序在 RunVisibleHandler() 方法中启动一个复杂的解密例程,采用具有控制流平坦化的状态机来阻止静态分析。

ResolverRAT 特别阴险的原因在于它利用了 .NET ResourceResolve 事件。

该技术允许恶意软件拦截合法资源请求并注入恶意程序集,而无需修改 PE 标头或调用可疑 API。

有效载荷解密过程使用在运行时解码的混淆整数,这使得静态检测几乎不可能。请考虑此过程的简化表示:

// ResolverRAT's obfuscated key decoding mechanism
private byte[] DecodeKey(int[] encodedIntegers)
{
    byte[] result = new byte[encodedIntegers.Length * 4];
    for (int i = 0; i < encodedIntegers.Length; i++)
    {
        int value = encodedIntegers[i] ^ 0x8A7F6D2E; // XOR with constant
        BitConverter.GetBytes(value).CopyTo(result, i * 4);
    }
    return result;
}

感染通过创建分布在多个位置的多达 20 个混淆的注册表项来实现持久性,即使某些条目被发现和删除,也能确保存活能力。

命令和控制基础设施采用证书固定和并行信任系统来绕过 SSL 检查,而 IP 轮换可以在主服务器中断时维持连接。

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

ResolverRAT 恶意软件 网络安全 医疗保健
相关文章