Το «ResolverRAT» στοχεύει υπηρεσίες υγειονομικής περίθαλψης
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το «ResolverRAT» στοχεύει υπηρεσίες υγειονομικής περίθαλψης
https://www.secnews.gr/646320/resolverrat-stoevei-ipiresies-igeionomikis-perithalpsis/
Apr 15th 2025, 14:38
by Absenta Mia
Οργανισμοί στον τομέα της υγειονομικής περίθαλψης και της φαρμακευτικής βιομηχανίας έχουν στοχοποιηθεί από μια νέα, εξελιγμένη οικογένεια κακόβουλου λογισμικού (ResolverRAT), σύμφωνα με ανακοίνωση της εταιρείας κυβερνοασφάλειας Morphisec.
Δείτε επίσης: Το νέο Sakura RAT του GitHub αποφεύγει τις προστασίες AV & EDR
Ονομάζεται ResolverRAT και έχει παρατηρηθεί σε επιθέσεις μέχρι και τις 10 Μαρτίου. Το συγκεκριμένο κακόβουλο λογισμικό διαθέτει προηγμένες δυνατότητες εκτέλεσης στη μνήμη και πολυεπίπεδης απόκρυψης, ενώ βασίζεται έντονα σε μηχανισμούς επίλυσης κατά τον χρόνο εκτέλεσης και δυναμική διαχείριση πόρων.
Παρά τις ομοιότητες στους τρόπους επίθεσης, τη χρήση δυαδικών αρχείων και τη μεταφορά ωφέλιμου φορτίου με προηγούμενες εκστρατείες phishing που διένειμαν τα Rhadamanthys και Lumma RATs, οι ερευνητές της Morphisec θεωρούν ότι το ResolverRAT αποτελεί νέα οικογένεια κακόβουλου λογισμικού.
Βασιζόμενα στον φόβο, τα phishing emails που διανέμουν το νέο κακόβουλο λογισμικό εξαπατούν υπαλλήλους εταιρειών ώστε να κάνουν κλικ σε έναν σύνδεσμο, ο οποίος τους οδηγεί στη λήψη και το άνοιγμα ενός αρχείου που οδηγεί στην εκτέλεση του ResolverRAT.
Ο επιτιθέμενος στοχεύει χρήστες σε διάφορες χώρες, στέλνοντας emails στις μητρικές τους γλώσσες — όπως τσεχικά, χίντι, ινδονησιακά, ιταλικά, πορτογαλικά και τουρκικά — που συχνά αναφέρονται σε νομικές έρευνες ή παραβιάσεις πνευματικών δικαιωμάτων.
Δείτε ακόμα: SnowDog: Νέο RAT malware διαφημίζεται σε hacking forums
Η αλυσίδα μόλυνσης εκμεταλλεύεται την τεχνική παραβίασης της σειράς αναζήτησης DLL, βασιζόμενη σε ένα ευάλωτο εκτελέσιμο αρχείο για να φορτώσει ένα κακόβουλο DLL που βρίσκεται στον ίδιο φάκελο.
Στο πρώτο στάδιο της εκτέλεσης, ένας φορτωτής που χρησιμοποιεί πολλαπλές τεχνικές αποφυγής ανάλυσης αποκρυπτογραφεί, φορτώνει και εκτελεί το κακόβουλο φορτίο. Το φορτίο του ResolverRAT είναι συμπιεσμένο και προστατευμένο με κρυπτογράφηση AES-256, με τα κλειδιά να αποθηκεύονται ως μεταμφιεσμένοι ακέραιοι αριθμοί και υπάρχει μόνο στη μνήμη μετά την αποκρυπτογράφηση.
Για να εξασφαλίσει την επιμονή του, το κακόβουλο λογισμικό δημιουργεί έως και 20 εγγραφές μητρώου σε πολλαπλές τοποθεσίες, συγκαλύπτοντας τα ονόματα των κλειδιών μητρώου και τις διαδρομές των αρχείων, ενώ εγκαθίσταται επίσης σε διάφορα σημεία του συστήματος.
Το ResolverRAT εφαρμόζει επίσης διάφορους μηχανισμούς για την προστασία της υποδομής εντολών και ελέγχου (C&C), συμπεριλαμβανομένου ενός παράλληλου συστήματος εμπιστοσύνης για την επικύρωση πιστοποιητικών, το οποίο μπορεί να παρακάμπτει τις ριζικές αρχές δημιουργώντας μια ιδιωτική αλυσίδα επικύρωσης μεταξύ του εμφυτεύματος και του C&C.
Το RAT διαθέτει πολυνηματική αρχιτεκτονική για την επεξεργασία εντολών, ενσωματώνει ισχυρούς μηχανισμούς διαχείρισης σφαλμάτων για την αποτροπή κατάρρευσης, υποστηρίζει επίμονη συνδεσιμότητα και διαχωρίζει μεγάλα σύνολα δεδομένων σε τμήματα για μετάδοση.
Δείτε επίσης: Οι Ρώσοι hackers Gamaredon στοχεύουν την Ουκρανία με το Remcos RAT
Το Remote Access Trojan (RAT) είναι ένας τύπος κακόβουλου λογισμικού που επιτρέπει σε έναν απομακρυσμένο χρήστη να ελέγχει έναν υπολογιστή χωρίς τη γνώση ή τη συγκατάθεση του ιδιοκτήτη του. Συνήθως εγκαθίσταται μέσω εξαπάτησης του χρήστη, όπως με την εκτέλεση ενός ύποπτου αρχείου ή την επίσκεψη σε μολυσμένες ιστοσελίδες. Μόλις εγκατασταθεί, το RAT μπορεί να παρακάμψει μέτρα ασφαλείας και να δώσει στον επιτιθέμενο πλήρη πρόσβαση στο σύστημα. Αυτό περιλαμβάνει την ικανότητα να βλέπει την οθόνη του θύματος, να ενεργοποιεί την κάμερα ή το μικρόφωνο, να καταγράφει πληκτρολογήσεις, να μεταφέρει αρχεία, ακόμα και να ελέγχει άλλες συσκευές στο ίδιο δίκτυο. Εξαιτίας των δυνατοτήτων αυτών, τα RATs χρησιμοποιούνται συχνά για κατασκοπεία, κλοπή δεδομένων, ή ακόμα και για σαμποτάζ. Είναι ιδιαίτερα επικίνδυνα επειδή λειτουργούν αθόρυβα στο παρασκήνιο και είναι δύσκολο να εντοπιστούν χωρίς τη χρήση εξειδικευμένων εργαλείων ασφάλειας.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το «ResolverRAT» στοχεύει υπηρεσίες υγειονομικής περίθαλψης
https://www.secnews.gr/646320/resolverrat-stoevei-ipiresies-igeionomikis-perithalpsis/
Apr 15th 2025, 14:38
by Absenta Mia
Οργανισμοί στον τομέα της υγειονομικής περίθαλψης και της φαρμακευτικής βιομηχανίας έχουν στοχοποιηθεί από μια νέα, εξελιγμένη οικογένεια κακόβουλου λογισμικού (ResolverRAT), σύμφωνα με ανακοίνωση της εταιρείας κυβερνοασφάλειας Morphisec.
Δείτε επίσης: Το νέο Sakura RAT του GitHub αποφεύγει τις προστασίες AV & EDR
Ονομάζεται ResolverRAT και έχει παρατηρηθεί σε επιθέσεις μέχρι και τις 10 Μαρτίου. Το συγκεκριμένο κακόβουλο λογισμικό διαθέτει προηγμένες δυνατότητες εκτέλεσης στη μνήμη και πολυεπίπεδης απόκρυψης, ενώ βασίζεται έντονα σε μηχανισμούς επίλυσης κατά τον χρόνο εκτέλεσης και δυναμική διαχείριση πόρων.
Παρά τις ομοιότητες στους τρόπους επίθεσης, τη χρήση δυαδικών αρχείων και τη μεταφορά ωφέλιμου φορτίου με προηγούμενες εκστρατείες phishing που διένειμαν τα Rhadamanthys και Lumma RATs, οι ερευνητές της Morphisec θεωρούν ότι το ResolverRAT αποτελεί νέα οικογένεια κακόβουλου λογισμικού.
Βασιζόμενα στον φόβο, τα phishing emails που διανέμουν το νέο κακόβουλο λογισμικό εξαπατούν υπαλλήλους εταιρειών ώστε να κάνουν κλικ σε έναν σύνδεσμο, ο οποίος τους οδηγεί στη λήψη και το άνοιγμα ενός αρχείου που οδηγεί στην εκτέλεση του ResolverRAT.
Ο επιτιθέμενος στοχεύει χρήστες σε διάφορες χώρες, στέλνοντας emails στις μητρικές τους γλώσσες — όπως τσεχικά, χίντι, ινδονησιακά, ιταλικά, πορτογαλικά και τουρκικά — που συχνά αναφέρονται σε νομικές έρευνες ή παραβιάσεις πνευματικών δικαιωμάτων.
Δείτε ακόμα: SnowDog: Νέο RAT malware διαφημίζεται σε hacking forums
Η αλυσίδα μόλυνσης εκμεταλλεύεται την τεχνική παραβίασης της σειράς αναζήτησης DLL, βασιζόμενη σε ένα ευάλωτο εκτελέσιμο αρχείο για να φορτώσει ένα κακόβουλο DLL που βρίσκεται στον ίδιο φάκελο.
Στο πρώτο στάδιο της εκτέλεσης, ένας φορτωτής που χρησιμοποιεί πολλαπλές τεχνικές αποφυγής ανάλυσης αποκρυπτογραφεί, φορτώνει και εκτελεί το κακόβουλο φορτίο. Το φορτίο του ResolverRAT είναι συμπιεσμένο και προστατευμένο με κρυπτογράφηση AES-256, με τα κλειδιά να αποθηκεύονται ως μεταμφιεσμένοι ακέραιοι αριθμοί και υπάρχει μόνο στη μνήμη μετά την αποκρυπτογράφηση.
Για να εξασφαλίσει την επιμονή του, το κακόβουλο λογισμικό δημιουργεί έως και 20 εγγραφές μητρώου σε πολλαπλές τοποθεσίες, συγκαλύπτοντας τα ονόματα των κλειδιών μητρώου και τις διαδρομές των αρχείων, ενώ εγκαθίσταται επίσης σε διάφορα σημεία του συστήματος.
Το ResolverRAT εφαρμόζει επίσης διάφορους μηχανισμούς για την προστασία της υποδομής εντολών και ελέγχου (C&C), συμπεριλαμβανομένου ενός παράλληλου συστήματος εμπιστοσύνης για την επικύρωση πιστοποιητικών, το οποίο μπορεί να παρακάμπτει τις ριζικές αρχές δημιουργώντας μια ιδιωτική αλυσίδα επικύρωσης μεταξύ του εμφυτεύματος και του C&C.
Το RAT διαθέτει πολυνηματική αρχιτεκτονική για την επεξεργασία εντολών, ενσωματώνει ισχυρούς μηχανισμούς διαχείρισης σφαλμάτων για την αποτροπή κατάρρευσης, υποστηρίζει επίμονη συνδεσιμότητα και διαχωρίζει μεγάλα σύνολα δεδομένων σε τμήματα για μετάδοση.
Δείτε επίσης: Οι Ρώσοι hackers Gamaredon στοχεύουν την Ουκρανία με το Remcos RAT
Το Remote Access Trojan (RAT) είναι ένας τύπος κακόβουλου λογισμικού που επιτρέπει σε έναν απομακρυσμένο χρήστη να ελέγχει έναν υπολογιστή χωρίς τη γνώση ή τη συγκατάθεση του ιδιοκτήτη του. Συνήθως εγκαθίσταται μέσω εξαπάτησης του χρήστη, όπως με την εκτέλεση ενός ύποπτου αρχείου ή την επίσκεψη σε μολυσμένες ιστοσελίδες. Μόλις εγκατασταθεί, το RAT μπορεί να παρακάμψει μέτρα ασφαλείας και να δώσει στον επιτιθέμενο πλήρη πρόσβαση στο σύστημα. Αυτό περιλαμβάνει την ικανότητα να βλέπει την οθόνη του θύματος, να ενεργοποιεί την κάμερα ή το μικρόφωνο, να καταγράφει πληκτρολογήσεις, να μεταφέρει αρχεία, ακόμα και να ελέγχει άλλες συσκευές στο ίδιο δίκτυο. Εξαιτίας των δυνατοτήτων αυτών, τα RATs χρησιμοποιούνται συχνά για κατασκοπεία, κλοπή δεδομένων, ή ακόμα και για σαμποτάζ. Είναι ιδιαίτερα επικίνδυνα επειδή λειτουργούν αθόρυβα στο παρασκήνιο και είναι δύσκολο να εντοπιστούν χωρίς τη χρήση εξειδικευμένων εργαλείων ασφάλειας.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια