网络安全研究人员发现了一种名为ResolverRAT的新型复杂远程访问木马,该木马已被观察到针对医疗保健和制药行业发起攻击。
“攻击者利用通过网络钓鱼电子邮件发送的基于恐惧的诱饵,旨在迫使收件人点击恶意链接,”Morphisec实验室研究员Nadav Lorber表示,“一旦访问,该链接会引导用户下载并打开一个触发ResolverRAT执行链的文件。”
最近一次观察到的活动是在2025年3月10日,其与去年思科Talos和Check Point记录的传播信息窃取恶意软件(如Lumma和Rhadamanthys)的网络钓鱼活动存在基础设施和传递机制的重叠。此次行动的一个显著特点是使用本地化的网络钓鱼诱饵,电子邮件以目标国家主要使用的语言撰写,包括印地语、意大利语、捷克语、土耳其语、葡萄牙语和印尼语,这表明攻击者试图通过针对特定地区的攻击来扩大攻击范围,以最大限度地提高感染率。
电子邮件内容涉及法律调查或版权侵权等主题,旨在制造虚假的紧迫感,增加用户互动的可能性。
感染链的特征是使用DLL侧加载技术来启动进程。第一阶段是一个内存加载器,它解密并执行主要有效载荷,同时还采用多种技巧来逃避检测。ResolverRAT有效载荷不仅使用加密和压缩,而且一旦解码,它只存在于内存中。
“ResolverRAT的初始化序列揭示了一个复杂、多阶段的引导过程,旨在实现隐蔽性和弹性,”Lorber说,并补充说它通过Windows注册表和在文件系统中安装在不同位置作为备用机制,实现了多种冗余持久化方法。
一旦启动,该恶意软件在与命令与控制(C2)服务器建立联系之前使用定制的证书认证,从而绕过机器的根证书颁发机构。它还实施了一个IP轮换系统,如果主C2服务器不可用或被关闭,它将连接到备用C2服务器。
此外,ResolverRAT配备了通过证书固定、源代码混淆和不规则信标模式向C2服务器发送信号来逃避检测的能力。
“这种先进的C2基础设施展示了攻击者的高级能力,结合了安全通信、备用机制和旨在维持持久访问同时逃避安全监控系统检测的逃避技术,”Morphisec表示。
该恶意软件的最终目标是处理C2服务器发出的命令,并将响应数据传回,将超过1MB大小的数据分解为16KB的块,以最大限度地减少被检测到的可能性。
尽管此次行动尚未被归因于特定的组织或国家,但诱饵主题的相似性和与之前观察到的网络钓鱼攻击中使用的DLL侧加载的使用暗示了可能的联系。
“这种对齐表明攻击者基础设施或行动手册可能存在重叠,可能指向相关威胁组织之间的共同附属模式或协调活动,”该公司表示。
随着CYFIRMA详细描述了另一种名为海王星RAT的远程访问木马,该木马采用模块化、基于插件的方法来窃取信息、在主机上保持持久性、索要500美元的赎金,甚至覆盖主引导记录(MBR)以扰乱Windows系统的正常运行,这一发展也随之而来。
它通过GitHub、Telegram和YouTube免费传播。尽管如此,与该恶意软件相关的GitHub个人资料(称为MasonGroup,即FREEMASONRY)目前已无法访问。
“海王星RAT结合了先进的反分析技术和持久性方法,以在受害者的系统上长期保持存在,并配备了危险的功能,”该公司在上周发布的分析中指出。
它包括“加密剪贴板、能够窃取270多个不同应用程序凭证的密码窃取器、勒索软件功能以及实时桌面监控,使其成为一个极其严重的威胁。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容