Според консултация на фирмата за киберсигурност Morphisec организациите в здравния и фармацевтичния сектор са били обект на атаки от ново, усъвършенствано семейство зловреден софтуер.

Наречен ResolverRAT и наблюдаван при атаки още на 10 март, зловредният софтуер разполага с усъвършенствани възможности за изпълнение в паметта и за многопластово избягване на откриване и разчита в голяма степен на механизми за разрешаване на проблеми по време на изпълнение и динамична обработка на ресурси.

Въпреки приликите в примамките, използването на двоични файлове и доставката на полезен товар с документираните по-рано фишинг кампании, предоставящи Rhadamanthys и Lumma RAT, изследователите от Morphisec смятат, че ResolverRAT е ново семейство зловреден софтуер.

„Уеднаквяването на механизмите за доставка на полезен товар, повторната употреба на артефакти и темите за примамки показва възможно припокриване на инфраструктурата на заплахите или оперативните наръчници, което потенциално сочи към общ модел на филиали или координирана дейност на свързани групи за заплахи“, се казва в консултацията.

Използвайки примамки, основани на страха, фишинг имейлите, чрез които се разпространява новият зловреден софтуер, подмамват корпоративните служители да кликнат върху връзка, която ги насочва да изтеглят и отворят файл, водещ до изпълнението на ResolverRAT.

Извършителят на заплахата се насочва към потребители в множество държави с имейли на родните езици на получателите, като чешки, хинди, български, индонезийски, италиански, португалски и турски, като често се позовава на правни разследвания или нарушения на авторските права.

Веригата на заразяване използва похищение на реда на търсене на DLL, като разчита на уязвим изпълним файл да зареди злонамерен DLL, поставен в неговата директория. На първия етап от веригата на изпълнение зареждащият модул, който използва множество техники за антианализ, декриптира, зарежда и изпълнява зловредния полезен товар.

Полезният товар на ResolverRAT е компресиран и защитен с помощта на AES-256 криптиране, като ключовете се съхраняват като замаскирани цели числа и съществуват само в паметта след декриптиране.

За устойчивост зловредният софтуер създава до 20 записа в регистъра на няколко места и замаскира имената на ключовете в регистъра и пътищата до файловете, като същевременно се инсталира на няколко места.

ResolverRAT също така прилага няколко механизма за защита на своята инфраструктура за командване и управление (C&C), включително паралелна система за доверие за валидиране на сертификати, която може да заобиколи руут чрез създаване на частна верига за валидиране между импланта и C&C.

Той също така имплементира сложна система за ротация на IP адреси за резервни варианти в случай, че C&C стане недостъпен, имплементира персонализиран протокол за комуникация с C&C, но използва стандартни портове, за да се скрие в рамките на легитимния трафик, планира връзки на случайни интервали и използва ProtoBuf за сериализация на данни.

RAT разполага с многонишкова архитектура за обработка на команди, прилага надеждна обработка на грешки, за да предотврати срив, реализира възможности за постоянна свързаност и разделя големи набори от данни на части за предаване.

В конфигурацията за управление и контрол компанията заяви, че е идентифицирала полета, които позволяват на операторите ѝ да проследяват отделните инфекции и да ги организират в рамките на кампаниите. За всяка жертва се използват специфични токени за удостоверяване, казва фирмата за киберсигурност.