Daha önce belgelenmemiş bir uzaktan erişim Truva atı (Sıçan), özellikle dünya çapında sağlık ve ilaç kuruluşlarını hedefleyen, özellikle sağlık hizmetlerini hedef alan ortaya çıkmıştır.
İlk olarak 10 Mart 2025 kadar yakın bir zamanda gözlemlenen bu kötü amaçlı yazılım, sofistike bellek içi icrası ve çok katmanlı kaçırma teknikleri aracılığıyla Rhadamanthys ve Lumma gibi ilgili tehditlerden ayrılıyor.
Önde gelen bir siber güvenlik firması olan Morphisec, kötü amaçlı yazılımların operasyonlarını detaylandırırken, polyswarm analistleri ResolverRat’ı benzersiz yeteneklerle ortaya çıkan bir tehdit olarak sınıflandırıyor.
.png
)
Yerel kimlik avı kampanyaları aracılığıyla konuşlandırılan kötü amaçlı yazılım, Çek, Hintçe, Endonezya, İtalyanca, Portekiz ve Türk gibi dillerde korku temelli cazibelerden yararlanır ve genellikle kullanıcıları dll yan yükleme yoluyla enfeksiyonu başlatan görünüşte meşru bir yürütülebilir dosyayı indirmek için kanun yapmak için yasal veya telif hakkı ihlallerini atıfta bulunur.
Teknik sofistike ve gizli operasyonlar
ResolverRat’ın enfeksiyon zinciri, gelişmiş anti-analiz yöntemlerini kullanan, System.security.criptografi ad alanı kullanan .NET tabanlı bir yükleyici ile başlar.
GZIP kullanılarak sıkıştırılan yük, disk ayak izlerini en aza indirmek ve geleneksel güvenlik izlemesinden kaçınmak için tamamen bellekte çalışır.
Göze çarpan bir özellik, PE başlıklarını değiştirmeden veya şüpheli API çağrılarını tetiklemeden kötü niyetli montajlar enjekte etmek için meşru kaynak isteklerini engelleyen .NET Resourceresolve olay kaçırma kullanımıdır.
Tespiti daha da karmaşıklaştıran RunvisibleHandler () yöntemi içindeki yük şifrelemesi, statik analiz ve kum havuzu ortamlarını engelleyen kontrol akışı düzleştirme ve sistem parmak izi ile karmaşık bir durum makinesi kullanır.
Kalıcılık için ResolverRat, birden fazla konumda 20’ye kadar gizlenmiş kayıt defteri girişini saçar ve kendisini çeşitli dizinlere yükler ve tehlikeye atılmış sistemlere gömülü kalmasını sağlar.
Rapora göre, kötü amaçlı yazılımların komut ve kontrol (C2) altyapısı eşit derecede sağlamdır ve meşru trafikle karışmak için standart bağlantı noktaları üzerinde özel bir protokol kullanır.
Sertifika sabitleme ve paralel bir güven sistemi SSL denetimini atlarken, IP rotasyonu birincil sunucular bozulsa bile bağlantıyı korur.
Protokol tamponları (Protobuf) yoluyla veri serileştirmesi verimliliği ve gizlemeyi arttırır ve zamanlayıcı geri arama yoluyla rastgele aralık bağlantısı denemeleri gizliliğine katkıda bulunur.
ResolverRat’ın çok iş parçacıklı mimari işlemleri, çökmeleri önlemek için hata işleme ile eş zamanlı olarak komutlar ve veri söndürme için, 1MB’yi aşan dosyaları 16KB parçalara ayırır ve bunları yalnızca yuvalar algılamayı en aza indirmeye ve ağ kesintilerinden kurtulmaya hazır olduğunda iletir.
Rhadamanthys ve Lumma ile kimlik avı taktikleri ve ikili yeniden kullanımı paylaşırken, farklı yükleyici ve yük mimarisi bağımsız bir tehdit ailesi statüsünü güçlendiriyor.
Sağlık ve ilaç sektörlerindeki kuruluşların kimlik avı kampanyalarına karşı savunmaları desteklemeleri ve bu gelişen tehdide karşı koymak için gelişmiş uç nokta tespiti yapmaları istenmektedir.
Uzlaşma Göstergeleri (IOCS)
Aşağıdaki tabloda, referans ve tehdit avcılık amacıyla poliswarm ile tanımlanan bilinen ResolverRat örnekleri listelenmiştir:
| Sha256 karma |
|---|
| C3028A3C0C9B037B252C046B1B170116E0EDECF855493145C27F0DDB98785C1 |
| 80625A787C0418BE1992CFA457B11A167E19F27E5AB49B5A8A7B7D4F2B9 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!