Самый образованный вирус: ResolverRAT владеет 6 языками и искусством исчезновения
NewsMakerОн растворяется в системе быстрее, чем таблетка в стакане воды.
Исследователи кибербезопасности из компании Morphisec обнаружили новый троян удалённого доступ под названием ResolverRAT, активно используемый в атаках на медицинские и фармацевтические организации. Вредоносная кампания отличается продуманной инфраструктурой и высокой степенью маскировки, что делает её особенно опасной для организаций, обрабатывающих чувствительные данные.
Основной вектор заражения — фишинговые письма, построенные на запугивающих сценариях, связанных с расследованиями или нарушениями авторских прав. Такие письма создают ощущение срочности и вынуждают получателей перейти по ссылке. Открытие вложенного файла запускает цепочку выполнения ResolverRAT, используя технику DLL Sideloading. При этом зловредный код не записывается на диск — он существует только в оперативной памяти, что затрудняет обнаружение вредоноса.
Кампания носит международный характер: злоумышленники подстраивают тексты писем под языки целевых стран, включая хинди, итальянский, чешский, турецкий, португальский и индонезийский. Это говорит о попытке масштабного охвата и увеличении доли успешных заражений путём регионализации приманок.
По технической реализации ResolverRAT отличается сложной многоступенчатой загрузкой и устойчивыми механизмами закрепления в системе. Помимо внедрения в реестр и файловую систему, используется уникальная схема аутентификации через сертификаты, позволяющая обойти системные корневые центры сертификации. Также реализована система ротации IP-адресов командного сервера, что позволяет продолжать работу даже при блокировке основного канала связи.
Для уклонения от анализа троян применяет пиннинг сертификатов, обфускацию кода и нестандартные интервалы связи с C2-сервером. Это значительно снижает вероятность его обнаружения средствами мониторинга безопасности. Размер передаваемых данных свыше 1 МБ разбивается на мелкие фрагменты по 16 КБ, что ещё больше усложняет детектирование.
Исследователи Morphisec отмечают сходство с фишинговыми атаками, ранее распространявшими вредоносные программы Lumma и Rhadamanthys. Обнаружены общие элементы инфраструктуры и методов доставки, что может свидетельствовать о взаимодействии различных групп или использовании аффилированной модели распространения.
Параллельно специалисты CYFIRMA сообщили о другом RAT-вредоносном ПО под названием Neptune RAT. В отличие от ResolverRAT, он распространяется свободно через GitHub, Telegram и YouTube. Neptune RAT построен по модульной схеме и включает в себя криптоклиппер, кражу паролей более чем из 270 приложений, возможность мониторинга рабочего стола в реальном времени, шифратор и даже модуль перезаписи MBR, нарушающий загрузку системы.
Neptune RAT также использует антианализ и сохраняет присутствие в системе продолжительное время. Данный вредонос представляет серьёзную угрозу из-за своей функциональности и свободного распространения.
Исследователи кибербезопасности из компании Morphisec обнаружили новый троян удалённого доступ под названием ResolverRAT, активно используемый в атаках на медицинские и фармацевтические организации. Вредоносная кампания отличается продуманной инфраструктурой и высокой степенью маскировки, что делает её особенно опасной для организаций, обрабатывающих чувствительные данные.
Основной вектор заражения — фишинговые письма, построенные на запугивающих сценариях, связанных с расследованиями или нарушениями авторских прав. Такие письма создают ощущение срочности и вынуждают получателей перейти по ссылке. Открытие вложенного файла запускает цепочку выполнения ResolverRAT, используя технику DLL Sideloading. При этом зловредный код не записывается на диск — он существует только в оперативной памяти, что затрудняет обнаружение вредоноса.
Кампания носит международный характер: злоумышленники подстраивают тексты писем под языки целевых стран, включая хинди, итальянский, чешский, турецкий, португальский и индонезийский. Это говорит о попытке масштабного охвата и увеличении доли успешных заражений путём регионализации приманок.
По технической реализации ResolverRAT отличается сложной многоступенчатой загрузкой и устойчивыми механизмами закрепления в системе. Помимо внедрения в реестр и файловую систему, используется уникальная схема аутентификации через сертификаты, позволяющая обойти системные корневые центры сертификации. Также реализована система ротации IP-адресов командного сервера, что позволяет продолжать работу даже при блокировке основного канала связи.
Для уклонения от анализа троян применяет пиннинг сертификатов, обфускацию кода и нестандартные интервалы связи с C2-сервером. Это значительно снижает вероятность его обнаружения средствами мониторинга безопасности. Размер передаваемых данных свыше 1 МБ разбивается на мелкие фрагменты по 16 КБ, что ещё больше усложняет детектирование.
Исследователи Morphisec отмечают сходство с фишинговыми атаками, ранее распространявшими вредоносные программы Lumma и Rhadamanthys. Обнаружены общие элементы инфраструктуры и методов доставки, что может свидетельствовать о взаимодействии различных групп или использовании аффилированной модели распространения.
Параллельно специалисты CYFIRMA сообщили о другом RAT-вредоносном ПО под названием Neptune RAT. В отличие от ResolverRAT, он распространяется свободно через GitHub, Telegram и YouTube. Neptune RAT построен по модульной схеме и включает в себя криптоклиппер, кражу паролей более чем из 270 приложений, возможность мониторинга рабочего стола в реальном времени, шифратор и даже модуль перезаписи MBR, нарушающий загрузку системы.
Neptune RAT также использует антианализ и сохраняет присутствие в системе продолжительное время. Данный вредонос представляет серьёзную угрозу из-за своей функциональности и свободного распространения.