СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16.04.2025
#Dev#ИБ

ResolverRAT: Новый угроза с уникальными методами обхода

ResolverRAT: Новый угроза с уникальными методами обхода

Недавно исследователи кибербезопасности обнаружили новый троян для удаленного доступа, получивший название ResolverRAT. Этот вредоносный софт использует сложные методы обхода и выполнения в памяти, что затрудняет как статический, так и поведенческий анализ. Разработка ResolverRAT привлекает внимание не только своими технологическими особенностями, но и тактикой распространения, которая нацелена на корпоративных сотрудников.

Архитектура и методы заражения

ResolverRAT использует механизмы разрешения во время выполнения, что отличает его от других угроз, связанных с кампаниями, такими как Rhadamanthys и Lumma. Процесс заражения начинается с применения социальной инженерии:

  • Фишинговые электронные письма, которые создают ощущение срочности.
  • Локализованные сообщения на нескольких языках для повышения уровня доверия.
  • Ссылки на загрузку вредоносного ПО, запускающие выполнение ResolverRAT.

Технологические особенности ResolverRAT

Троянец использует технологию сторонней загрузки библиотеки DLL для доставки полезной нагрузки, применяя законный подписанный исполняемый файл, который уязвим для перехвата библиотеки DLL, в частности hpreader.exe. Это позволяет безопасным приложениям без затруднений загружать вредоносное ПО.

Наиболее заметная особенность ResolverRAT заключается в его способности работать в управляемой памяти, перехватывая законные запросы к ресурсам и обходя традиционные решения для мониторинга. Для обеспечения безопасности и уклонения от обнаружения используются следующие методы:

  • Шифрование AES-256 для защиты полезной нагрузки.
  • Создание нескольких записей в реестре для повышения устойчивости.
  • Нетрадиционный метод проверки сертификата, обходящий стандартные корневые полномочия.

Способы обхода обнаружения

ResolverRAT демонстрирует способность менять IP-адреса и использовать пользовательские протоколы поверх обычных портов, чтобы маскироваться под легитимный трафик. В дополнение к этому:

  • Вредоносная программа включает надежную систему мониторинга, которая отслеживает попытки анализа.
  • Регулирует свое поведение на основе выявленных закономерностей окружающей среды.
  • Эффективно управляет командными и контрольными коммуникациями, создавая устойчивые соединения.

Угрозы для целевых секторов

В конечном итоге, ResolverRAT представляет серьезную угрозу для таких секторов, как здравоохранение и фармацевтика, благодаря своим расширенным возможностям, направленным на поддержание постоянного доступа и уклонение от обнаружения. Его сложная архитектура и методы затрудняют выявление и блокировку со стороны средств кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: