Siber güvenlik araştırmacıları, sağlık ve farmasötik sektörleri hedefleyen saldırılarda gözlemlenen ResolverRat adlı yeni, sofistike bir uzaktan erişim Truva atı keşfettiler.
Hacker News ile paylaşılan bir raporda Morphisec Labs araştırmacısı Nadav Lorber, “Tehdit oyuncusu, alıcıları kötü niyetli bir bağlantıyı tıklamaya baskı yapmak için tasarlanan kimlik avı e-postaları aracılığıyla teslim edilen korku temelli yemleri kullanıyor.” Dedi. “Erişim sağlandıktan sonra, bağlantı kullanıcıyı ResolverRat yürütme zincirini tetikleyen bir dosyayı indirip açmaya yönlendirir.”
10 Mart 2025 kadar yakın bir zamanda gözlemlenen etkinlik, geçen yıl Cisco Talos ve Check Point tarafından belgelendiği gibi Lumma ve Rhadamanthys gibi bilgi çalma kötü amaçlı yazılımları sunan kimlik avı kampanyalarıyla altyapı ve teslimat mekanizmasını paylaşıyor.
Kampanyanın dikkate değer bir yönü, hedeflenen ülkelerde ağırlıklı olarak konuşulan dillerde hazırlanmış e -postalar ile yerelleştirilmiş kimlik avı yemlerinin kullanılmasıdır. Bu, Hintçe, İtalyanca, Çek, Türkçe, Portekizce ve Endonezya’yı içerir, bu da tehdit oyuncunun bölgeye özgü hedefleme ve enfeksiyon oranlarını en üst düzeye çıkarma girişimlerini gösteriyor.
E -posta mesajlarındaki metinsel içerik, yanlış bir aciliyet duygusu uyandırmaya ve kullanıcı etkileşimi olasılığını artırmaya çalışan yasal soruşturmalar veya telif hakkı ihlalleri ile ilgili temalar kullanır.
Enfeksiyon zinciri, işlemi başlatmak için DLL yan yükleme tekniğinin kullanılması ile karakterizedir. İlk aşama, ana yükün şifresini çözen ve yürüten bir bellek içi yükleyicidir ve aynı zamanda radarın altında uçmak için bir sürü hileler ekler. ResolverRat yükü sadece şifreleme ve sıkıştırma kullanmakla kalmaz, aynı zamanda kod çözüldükten sonra sadece bellekte de bulunur.
Lorber, “ResolverRat’ın başlatma sırası, gizli ve esneklik için tasarlanmış sofistike, çok aşamalı bir önyükleme işlemini ortaya koyuyor.”
Başlatıldıktan sonra, kötü amaçlı yazılım, bir komut ve kontrol (C2) sunucusu ile iletişim kurmadan önce makinenin kök yetkililerini atlayacak şekilde ısmarlama sertifika tabanlı bir kimlik doğrulama kullanır. Ayrıca, birincil C2 sunucusu kullanılamıyorsa veya kaldırılırsa, alternatif bir C2 sunucusuna bağlanması için bir IP döndürme sistemi uygular.
Ayrıca, ResolverRat, C2 sunucusuna sertifika sabitleme, kaynak kodu gizleme ve düzensiz işaretleme modelleri yoluyla algılama çabalarını kaldırma yetenekleri ile donatılmıştır.
Morphisec, “Bu gelişmiş C2 altyapısı, güvenlik izleme sistemleri tarafından tespit ederken kalıcı erişimi korumak için tasarlanmış güvenli iletişim, geri dönüş mekanizmaları ve kaçınma tekniklerini birleştirerek tehdit aktörünün gelişmiş yeteneklerini göstermektedir.” Dedi.
Kötü amaçlı yazılımın nihai amacı, C2 sunucusu tarafından verilen komutları işlemek ve yanıtları geri püskürtmektir ve algılama şansını en aza indirmek için 1 MB üzerindeki verileri 16 kb parçalara ayırır.
Kampanya henüz belirli bir gruba veya ülkeye atfedilmemiştir, ancak cazibe temalarındaki benzerlikler ve daha önce gözlemlenen kimlik avı saldırılarıyla DLL yan yüklemenin kullanılması olası bir bağlantıya işaret etmektedir.
“Hizalama […] Tehdit oyuncusu altyapısında veya operasyonel oyun kitaplarında olası bir örtüşmeyi gösteriyor, potansiyel olarak ortak bir bağlı kuruluş modeline veya ilgili tehdit grupları arasında koordineli faaliyetlere işaret ediyor. “Dedi.
Geliştirme, Cyfirma’nın, bilgiyi çalmak, konakçı üzerinde kalıcılığı korumak, 500 dolarlık bir fidye talep etmek ve hatta Windows sisteminin normal işleyişini bozmak için ana çizme kaydını (MBR) üzerine yazan modüler, eklenti tabanlı bir yaklaşım kullanan başka bir uzaktan erişim Truva Kolezi Neptune Rat’ı ayrıntılı olarak açıklıyor.
GitHub, Telegram ve YouTube aracılığıyla serbestçe yayılıyor. Bununla birlikte, Masongroup (Masonluk olarak adlandırılan) olarak adlandırılan kötü amaçlı yazılımla ilişkili GitHub profiline artık erişilemiyor.
Şirket, geçen hafta yayınlanan bir analizde, “Neptune Rat, kurbanın sistemindeki varlığını uzun süreler boyunca sürdürmek için gelişmiş anti-anti-anti-anti-anti-anti-anti-anti-anti-analizler ve kalıcılık yöntemleri içeriyor ve tehlikeli özelliklerle dolu.”
“Kripto kesme makinesi, 270’den fazla farklı uygulamanın kimlik bilgilerini, fidye yazılımı özelliklerini ve canlı masaüstü izlemeyi sunarak son derece ciddi bir tehdit haline getirme özelliğine sahip şifre stealer.”