„ResolverRAT“ kenkėjiška programa: dar viena slaptų grėsmių rūšis, nukreipta į pasaulines pramonės šakas

ResolverRAT atsirado sparčiai besivystančiame kibernetiniame pasaulyje, patraukdama kibernetinio saugumo ekspertų dėmesį dėl savo techninio sudėtingumo ir tikslaus požiūrio. Šis nuotolinės prieigos Trojos arklys (RAT) buvo nustatytas per kibernetines atakas, nukreiptas į sveikatos priežiūros ir farmacijos sektorius, pramonės šakas, kuriose duomenų jautrumas ir sistemos veikimo laikas yra labai svarbūs.

„ResolverRAT“ išsiskiria ne tik sektoriais, į kuriuos jis taikomas, bet ir pažangiais bei daugiasluoksniais infekcijos metodais. Skirtingai nuo pagrindinių kenkėjiškų programų, kurias gali sustabdyti tradicinės antivirusinės priemonės, ResolverRAT naudoja patobulintą metodų rinkinį, skirtą išvengti aptikimo, palaikyti ilgalaikę prieigą ir saugiai bendrauti su savo operatoriais.

Kaip ResolverRAT įsiskverbia į sistemas

Kenkėjiškos programos pristatymas paprastai prasideda nuo sukčiavimo el. laiško , sukurto siekiant sukurti klaidingą skubos jausmą. Šie el. laiškai dažnai įspėja gavėjus apie teisinius nesklandumus ar autorių teisių pažeidimus, verčia juos spustelėti nuorodas arba atsisiųsti priedus. Spustelėjus nuorodą, auka nesąmoningai pradeda failo, kuris nustato kenkėjiškos programos vykdymo seką, atsisiuntimą.

ResolverRAT ypač efektyvus yra vietinių jaukų naudojimas. El. laiškai yra pritaikyti jų tikslinėms kalboms, įskaitant hindi, turkų, portugalų, čekų, italų ir indoneziečių kalbas. Ši lokalizacija padidina tikimybę, kad gavėjas pasitikės pranešimu ir su juo sąveikaus.

Faktiniame užkrėtimo procese naudojamas metodas, žinomas kaip DLL šoninis įkėlimas , kai iš pažiūros teisėta programa apgaudinėjama įkelti kenkėjišką failą. „ResolverRAT“ įkroviklis veikia tik atmintyje, iššifruodamas ir suaktyvindamas pagrindinę kenkėjišką programą, neįrašydamas nuolatinių failų į sistemą. Dėl šio slapto, atmintyje gyvenančio elgesio, įprastoms saugos priemonėms labai sunku aptikti.

Kenkėjiškos programos galimybių įsigilinimas

Kai „ResolverRAT“ įsitvirtina sistemoje, ji nustato kelis perteklinius išlikimo mechanizmus tiek „Windows“ registre, tiek įvairiose failų sistemos vietose. Šie atleidimai užtikrina, kad kenkėjiška programa gali išgyventi paleidus iš naujo ir išliks aktyvi, net jei jos dalys bus pašalintos.

Unikalus „ResolverRAT“ aspektas yra požiūris į saugų ryšį. Prieš prisijungdamas prie komandų ir valdymo (C2) serverio, jis naudoja sertifikatu pagrįstą autentifikavimą , kuris apeina numatytuosius sistemos pasitikėjimo nustatymus. Jis taip pat keičia savo C2 infrastruktūros IP adresus, kad galėtų palaikyti ryšį, net jei serveris išjungtas.

Siekdama dar labiau užgožti savo veiklą, kenkėjiška programa naudoja sertifikatų prisegimą , šaltinio kodo užmaskavimą ir netaisyklingus signalų intervalus, kad išvengtų aptikimo. Šis sudėtingumo lygis rodo gerai finansuojamą ir techniškai kvalifikuotą grėsmės veikėją.

„ResolverRAT“ galutinis žaidimas yra duomenų išfiltravimas ir nuotolinis komandų vykdymas. Kenkėjiška programa gali gauti komandas iš savo operatoriaus, jas vykdyti ir tada grąžinti rezultatus. Dideli duomenų rinkiniai kruopščiai suskaidomi į mažas dalis (paprastai kiekvienas po 16 KB), kad tinklo stebėjimo sistemose nesuveiktų aliarmai.

Pasekmės ir ryšiai

Nors jokia konkreti grupė neprisiėmė atsakomybės už ResolverRAT kūrimą ar diegimą, kibernetinio saugumo ekspertai pastebėjo panašumus tarp šios kampanijos ir ankstesnių kenkėjiškų programų atakų, susijusių su Lumma ir Rhadamanthys. Šie sutapimai rodo, kad galima naudoti bendrą infrastruktūrą arba filialais pagrįstą platinimo modelį , kai keli subjektai naudoja tą patį įrankių rinkinį skirtingiems tikslams pasiekti.

„ResolverRAT“ atsiradimo laikas taip pat sutampa su kitais RAT patobulinimais, tokiais kaip „Neptune RAT“ – kita grėsmė, kuri pasižymi įskiepiais pagrįsta architektūra, išpirkos programinės įrangos galimybėmis ir kredencialų vagyste, nukreipta į šimtus programų. Nors dvi kenkėjiškų programų šeimos yra skirtingos, jų bendras sudėtingumas ir išleidimo langas atspindi platesnę tendenciją: grėsmės veikėjai tobulina savo įrankius, kad išlaikytų ilgalaikę prieigą, apeitų aptikimą ir padarytų ilgalaikę žalą.

Kvietimas atkreipti dėmesį, o ne pavojaus signalas

Nors „ResolverRAT“ yra techniškai pažangi grėsmė, sąmoningumas ir tinkama saugumo higiena išlieka geriausia apsauga. Organizacijos, ypač didelės rizikos sektoriuose, pavyzdžiui, sveikatos priežiūros, turėtų užtikrinti, kad sistemos būtų pataisytos, darbuotojai būtų apmokyti atpažinti sukčiavimo taktiką ir įdiegtos pažangios grėsmių aptikimo sistemos.

„ResolverRAT“ nepraneša apie naują kibernetinės panikos erą, tačiau yra svarbus priminimas. Kibernetinės grėsmės tampa vis labiau tikslingos, protingesnės ir vengiančios. Supratimas, kaip jie veikia, yra pirmas žingsnis norint būti žingsniu priekyje.