Novoidentifikovani trojanac za daljinski pristup (RAT) nazvan ResolverRAT pojavio se kao značajna prijetnja globalnim preduzećima, koristeći napredno izvršavanje u memoriji i višeslojne tehnike izbjegavanja kako bi se zaobišle tradicionalne sigurnosne mjere.
Napad usmjeren na zdravstvene i farmaceutske organizacije, ova porodica malicioznog softvera koristi rezoluciju resursa tokom izvršavanja, šifrovane korisne podatke i infrastrukturu za komandu i kontrolu (C2) pričvršćenu na sertifikate za održavanje sakrivenosti.
Morphisec je u izvještaju podijeljenom za Cyber Security News rekao da je najnoviji val napada primijećen 10. marta 2025., naglašavajući njegovo aktivno korišćenje u sofisticiranim kampanjama sajber špijunaže.
Početni pristup putem phishing kampanja
ResolverRAT infekcije počinju s visoko prilagođenim phishing e-porukama dizajniranim da iskoriste jezične i kulturne kontekste specifične za regiju. Hakeri kreiraju teme i sadržaj na maternjem jeziku primaoca, često pozivajući se na hitnost kroz teme vezane za zakonska kršenja ili kršenja autorskih prava.
Primjeri uključuju mamce na hindskom jeziku koji upućuju na „जाँच प्रक्रिया में दर्ज किए गए दस्तावेज़” („Dokumenti snimljeni tokom procesa istrage”) i italijanske e-poruke pod naslovom „Documento per confermare la violazione del copyright”. Ova strategija lokalizacije povećava kredibilitet, povećavajući vjerovatnoću interakcije korisnika u različitim geografskim područjima, navodi se u izvještaju Morphisec .
Mehanizam isporuke korisnog učitavanja koristi bočno učitavanje DLL-a preko legitimne potpisane izvršne datoteke ( hpreader.exe), koja učitava maliciozni DLL iz istog direktorija.
Ova tehnika odražava nedavne kampanje koje distribuišu kradljivce Rhadamanthys i Lumma, sugerišući potencijalno preklapanje infrastrukture ili alata među grupama prijetnji.
Ponovna upotreba identičnih binarnih datoteka i phishing tema u kampanjama ukazuje na koordiniran partnerski model ili zajedničke operativne priručnike.
Arhitektura učitavača u memoriji i tehnike izbjegavanja
ResolverRAT-ov učitavač koristi AES-256 enkripciju sa ključevima pohranjenim kao zamagljeni cijeli brojevi, dešifrovani u vrijeme izvođenja preko .NET System.Security.Cryptographyimenskog prostora. Korisno opterećenje ostaje komprimirano pomoću GZip-a i postoji samo u memoriji nakon dešifrovanja, izbjegavajući otkrivanje na disku1. Ovaj pristup kombinuje kriptografsku sigurnost sa operativnom skrivenošću, ostavljajući minimalne forenzičke artefakte.
Statička analiza je onemogućena kroz dinamički sistem dekodiranja nizova gdje se nizovi pohranjuju kao numerički ID-ovi. Metoda StringObfuscator.GetString(int stringId)rješava ove ID-ove u vrijeme izvođenja, dok istovremeni rječnik kešira dekodirane vrijednosti za performanse.
Uz to, maliciozni softver otima .NET-ove ResourceResolve događaje kako bi presreo zahtjeve za resursima i učitao maliciozne sklopove direktno iz memorije. Ova tehnika izbjegava sigurnosne alate koji prate tradicionalne vektore ubrizgavanja zaobilazeći Win32 API pozive i operacije sistema datoteka.
ResolverRAT uspostavlja otporne C2 kanale koristeći unaprijed ugrađene X509 sertifikate koji zaobilaze korijenska ovlaštenja sistema.
Tokom SSL/TLS rukovanja, prilagođeni povratni poziv validacije uparuje sertifikate servera sa ugrađenim sertifikatom malicioznog softvera, stvarajući privatni lanac povjerenja. Ovo čini inspekciju čoveka u sredini (MITM) neefikasnom i komplikuje analizu mrežnog saobraćaja.
Izvor: CyberSecurityNews