一种名为’ResolverRAT’的新型远程访问木马(RAT)正在全球范围内对组织发起攻击,近期的攻击主要针对医药和医疗行业。ResolverRAT通过声称是法律或版权违规的钓鱼邮件进行分发,这些邮件根据目标国家的语言进行定制。邮件中包含一个下载合法可执行文件(’hpreader.exe’)的链接,该文件用于使用反射DLL加载将ResolverRAT注入内存。
这种之前未曾记录的恶意软件由Morphisec发现,他们注意到相同的钓鱼基础设施在Check Point和Cisco Talos的近期报告中也有记录。然而,这些报告主要关注的是Rhadamanthys和Lumma信息窃取程序,未能捕捉到独特的ResolverRAT负载。
ResolverRAT是一种隐秘的威胁,完全在内存中运行,同时滥用.NET的’ResourceResolve’事件来加载恶意程序集,而不会执行可能被标记为可疑的API调用。这种资源解析劫持代表了恶意软件演变的最高水平——利用一个被忽视的.NET机制完全在托管内存中操作,绕过了传统的安全监控。