一種名為“ResolverRAT”的新型遠程訪問木馬（RAT）正被用于攻擊全球的組織，發現該惡意軟件最近被用于針對醫療保健和制藥行業的攻擊。

ResolverRAT通過網絡釣魚郵件傳播，違反法律或版權，根據目標國家的語言量身定制。電子郵件包含下載合法可執行文件（'hpreader.exe'）的鏈接，該鏈接利用反射DLL加載將ResolverRAT注入內存。

Morphisec發現了之前未記錄的惡意軟件，他們指出，Check Point和Cisco Talos最近的報告中也記錄了相同的網絡釣魚基礎設施。

然而，這些報告強調了Rhadamanthys和Lumma竊取者的分布，未能捕獲獨特的ResolverRAT有效載荷。

ResolverRAT功能

ResolverRAT是一個完全在內存中運行的隱形威脅，同時它還濫用 net ‘ resourcerresolve ’事件來加載惡意程序集，而不執行可能被標記為可疑的API調用。

“這種資源解析器劫持代表了惡意軟件的最佳進化——利用一個被忽視的。net機制完全在托管內存中運行，繞過了傳統的安全監控，重點是Win32 API和文件系統操作，”Morphisec描述道。

研究人員報告說，ResolverRAT使用復雜的狀態機來混淆控制流，使靜態分析變得極其困難，通過識別資源請求來檢測沙箱和分析工具。

即使它在調試工具的存在下執行，它對誤導和冗余代碼/操作的使用也會使分析復雜化。

該惡意軟件通過在Windows注冊表中最多20個位置添加xor混淆鍵來確保持久性。同時，它還將自己添加到文件系統位置，如“Startup”、“Program Files”和“LocalAppData”。

基于注冊的持久性

ResolverRAT嘗試以隨機間隔在計劃回調時進行連接，以逃避基于不規則信標模式的檢測。

操作員發送的每個命令都在專用線程中處理，在確保失敗的命令不會使惡意軟件崩潰的同時，啟用并行任務執行。

雖然Morphisec沒有深入研究ResolverRAT支持的命令，但它提到了數據泄露功能，該功能具有用于大數據傳輸的分塊機制。

具體來說，大于1MB的文件被分成16KB的塊，這樣可以通過將惡意流量與正常流量混合來逃避檢測。

將較大的文件分成小塊

在發送每個塊之前，ResolverRAT檢查套接字是否好寫，防止擁塞或網絡不穩定導致的錯誤。該機制具有最佳的錯誤處理和數據恢復功能，從最后一個成功的塊恢復傳輸。

Morphisec在意大利、捷克、印度、土耳其、葡萄牙和印度尼西亞觀察到網絡釣魚攻擊，因此該惡意軟件具有全球操作范圍，可以擴展到更多國家。

參考及來源：https://www.bleepingcomputer.com/news/security/new-resolverrat-malware-targets-pharma-and-healthcare-orgs-worldwide/