新的ResolverRAT惡意軟件針對全球的制藥和醫(yī)療保健機(jī)構(gòu)

一種名為“ResolverRAT”的新型遠(yuǎn)程訪問木馬（RAT）正被用于攻擊全球的組織，發(fā)現(xiàn)該惡意軟件最近被用于針對醫(yī)療保健和制藥行業(yè)的攻擊。

ResolverRAT通過網(wǎng)絡(luò)釣魚郵件傳播，違反法律或版權(quán)，根據(jù)目標(biāo)國家的語言量身定制。電子郵件包含下載合法可執(zhí)行文件（'hpreader.exe'）的鏈接，該鏈接利用反射DLL加載將ResolverRAT注入內(nèi)存。

Morphisec發(fā)現(xiàn)了之前未記錄的惡意軟件，他們指出，Check Point和Cisco Talos最近的報告中也記錄了相同的網(wǎng)絡(luò)釣魚基礎(chǔ)設(shè)施。

然而，這些報告強(qiáng)調(diào)了Rhadamanthys和Lumma竊取者的分布，未能捕獲獨(dú)特的ResolverRAT有效載荷。

ResolverRAT功能

ResolverRAT是一個完全在內(nèi)存中運(yùn)行的隱形威脅，同時它還濫用 net‘resourcerresolve’事件來加載惡意程序集，而不執(zhí)行可能被標(biāo)記為可疑的API調(diào)用。

“這種資源解析器劫持代表了惡意軟件的最佳進(jìn)化——利用一個被忽視的。net機(jī)制完全在托管內(nèi)存中運(yùn)行，繞過了傳統(tǒng)的安全監(jiān)控，重點(diǎn)是Win32 API和文件系統(tǒng)操作，”Morphisec描述道。

研究人員報告說，ResolverRAT使用復(fù)雜的狀態(tài)機(jī)來混淆控制流，使靜態(tài)分析變得極其困難，通過識別資源請求來檢測沙箱和分析工具。

即使它在調(diào)試工具的存在下執(zhí)行，它對誤導(dǎo)和冗余代碼/操作的使用也會使分析復(fù)雜化。

該惡意軟件通過在Windows注冊表中最多20個位置添加xor混淆鍵來確保持久性。同時，它還將自己添加到文件系統(tǒng)位置，如“Startup”、“Program Files”和“LocalAppData”。

基于注冊的持久性

ResolverRAT嘗試以隨機(jī)間隔在計(jì)劃回調(diào)時進(jìn)行連接，以逃避基于不規(guī)則信標(biāo)模式的檢測。

操作員發(fā)送的每個命令都在專用線程中處理，在確保失敗的命令不會使惡意軟件崩潰的同時，啟用并行任務(wù)執(zhí)行。

雖然Morphisec沒有深入研究ResolverRAT支持的命令，但它提到了數(shù)據(jù)泄露功能，該功能具有用于大數(shù)據(jù)傳輸?shù)姆謮K機(jī)制。

具體來說，大于1MB的文件被分成16KB的塊，這樣可以通過將惡意流量與正常流量混合來逃避檢測。

將較大的文件分成小塊

在發(fā)送每個塊之前，ResolverRAT檢查套接字是否好寫，防止擁塞或網(wǎng)絡(luò)不穩(wěn)定導(dǎo)致的錯誤。該機(jī)制具有最佳的錯誤處理和數(shù)據(jù)恢復(fù)功能，從最后一個成功的塊恢復(fù)傳輸。

Morphisec在意大利、捷克、印度、土耳其、葡萄牙和印度尼西亞觀察到網(wǎng)絡(luò)釣魚攻擊，因此該惡意軟件具有全球操作范圍，可以擴(kuò)展到更多國家。

參考及來源：https://www.bleepingcomputer.com/news/security/new-resolverrat-malware-targets-pharma-and-healthcare-orgs-worldwide/

文章來源：https://mp.weixin.qq.com/s/z5w9hMTXfONa92FEFwNOLw