安全研究人員發現了一種名為 ResolverRAT 的新型木馬病毒,該病毒針對全球醫療和製藥行業。這款新型遠程訪問木馬(RAT)在互聯網上廣泛傳播,感染了多個行業的組織。
根據網絡安全研究機構 Morphisec Labs 的報告,ResolverRAT 具備先進的混淆和隱蔽逃避技術,但其傳播方式相對普通。攻擊通常始於常見的釣魚電子郵件,這些郵件旨在恐嚇受害者做出輕率的決定。攻擊者會對電子郵件進行本地化,以提高感染率,但仍然會發送給較廣泛的對象。研究人員發現,這些釣魚郵件使用了印地語、意大利語、捷克語、土耳其語、葡萄牙語和印尼語等多種語言。
該病毒的附件通過側載的 DLL 文件進行部署,當被觸發時會直接將加載器放入內存中。該加載器進一步部署最終的惡意軟件載荷,也僅在內存中運行。
ResolverRAT 還採用加密和壓縮技術,並在目標終端上實現持久存在。研究人員指出,「ResolverRAT 的初始化序列顯示出一種複雜的多階段引導過程,旨在實現隱蔽性和韌性」,並補充說它通過 Windows 註冊表實施了多種冗餘的持久性方法。最終,ResolverRAT 會在計算機的不同位置安裝自身。
其他顯著特點包括使用基於證書的身份驗證來繞過根權限、IP 旋轉系統以連接不同的 C2 伺服器、證書固定、源代碼混淆等。Morphisec 表示,「這種先進的 C2 基礎設施展示了威脅行為者的高級能力,結合了安全通信、後備機制和逃避技術,旨在保持持久訪問同時避開安全監控系統的檢測。」
最近一次觀察到該攻擊活動是在今年 3 月中旬,這可能表明其仍在進行中。部署 ResolverRAT 的威脅行為者可能與投放 Lumma 和 Rhadamanthys 的行為者相同,因為在所有情況中都觀察到了相同的部署機制。這也可能意味著這些團體僅僅是在使用相同的釣魚工具包。
更多手機開箱評價請即睇:手機開箱
https://www.techritual.com/category/unbox-review/mobile-phone-tablet/
