ResolverRAT 惡意軟體：另一個針對全球產業的隱形威脅

ResolverRAT在快速發展的網路世界中出現，由於其技術複雜性和針對性方法而引起網路安全專家的關注。這種遠端存取木馬 (RAT)已被發現出現在針對醫療保健和製藥行業的網路攻擊中，這些行業的資料敏感性和系統正常運行時間至關重要。

ResolverRAT 之所以脫穎而出，不僅是因為其針對的領域，還因為其先進且分層的感染方法。與傳統防毒工具可以阻止的基本惡意軟體不同，ResolverRAT 使用一套精細的技術來逃避偵測、保持長期存取並與其操作員進行安全通訊。

ResolverRAT 如何滲透系統

惡意軟體的傳播通常始於一封精心設計的網路釣魚電子郵件，旨在營造一種虛假的緊迫感。這些電子郵件通常會警告收件者有關法律問題或版權侵犯，迫使他們點擊連結或下載附件。一旦點擊該鏈接，受害者就會在不知不覺中開始下載文件，從而啟動惡意軟體的執行序列。

ResolverRAT 之所以特別有效是因為它使用了本地化誘餌。電子郵件根據目標用戶的母語進行客製化，包括印地語、土耳其語、葡萄牙語、捷克語、義大利語和印尼語。這種本地化增加了收件人信任和與訊息互動的可能性。

實際的感染過程採用一種稱為DLL 側加載的方法，即誘騙看似合法的應用程式載入惡意檔案。 ResolverRAT 的載入器完全在記憶體中運行，解密並啟動核心惡意軟體，而無需將永久檔案寫入系統。這種隱密的、駐留在記憶體中的行為使得傳統安全工具很難被偵測到。

深入探究惡意軟體的功能

一旦 ResolverRAT 在系統中站穩腳跟，它就會在 Windows 登錄和檔案系統的各個位置設定多個冗餘持久機制。這些冗餘確保惡意軟體能夠在重新啟動後繼續存在，並且即使部分內容被刪除也能保持活躍。

ResolverRAT 的一個獨特之處在於其安全通訊方法。在連接到其命令和控制 (C2) 伺服器之前，它使用基於憑證的身份驗證來繞過系統的預設信任設定。它還會輪換其 C2 基礎設施的 IP 位址，即使伺服器關閉也能保持聯繫。

為了進一步掩蓋其操作，該惡意軟體使用證書固定、原始程式碼混淆和不規則信標間隔來避免被發現。這種複雜程度顯示威脅行為者資金充足且技術純熟。

ResolverRAT 的最終目標是資料外洩和遠端命令執行。該惡意軟體可以接收來自其操作員的命令，執行它們，然後返回結果。大型資料集被仔細地分成小塊（通常每個 16 KB），以避免觸發網路監控系統的警報。

意義和聯繫

雖然沒有特定組織聲稱對 ResolverRAT 的開發或部署負責，但網路安全專家指出，這項活動與過去涉及 Lumma 和 Rhadamanthys 的惡意軟體攻擊有相似之處。這些重疊暗示了共享基礎設施或基於附屬機構的分銷模式的可能性，其中多個參與者使用相同的工具包來實現不同的目標。

ResolverRAT 出現的時間也與其他 RAT 的發展相吻合，例如Neptune RAT ，這是另一種威脅，具有基於插件的架構、勒索軟體功能以及針對數百個應用程式的憑證盜竊功能。儘管這兩個惡意軟體家族是獨立的，但它們共同的複雜性和發布窗口反映了一個更廣泛的趨勢：威脅行為者正在改進他們的工具以保持長期訪問、繞過檢測並造成長期損害。

呼籲提高認識，而不是驚慌

雖然 ResolverRAT 是一種技術先進的威脅，但意識和適當的安全衛生仍然是最好的防禦措施。組織，尤其是醫療保健等高風險產業的組織，應確保系統得到修補，員工接受識別網路釣魚策略的培訓，並建立先進的威脅偵測系統。

ResolverRAT 並不預示著網路恐慌新時代的到來，但它確實起到了重要的提醒作用。網路威脅變得越來越有針對性、智慧化和隱蔽性。了解它們的工作原理是保持領先的第一步。