{"id":2796,"date":"2025-04-17T09:29:28","date_gmt":"2025-04-17T09:29:28","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=2796"},"modified":"2025-04-17T09:29:28","modified_gmt":"2025-04-17T09:29:28","slug":"neue-resolverrat-malware-zielt-auf-gesundheitsbranche","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=2796","title":{"rendered":"Neue ResolverRAT-Malware zielt auf Gesundheitsbranche"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Der neue Remote Access Trojaner ResolverRAT nutzt DLL-Side-Loading-Probleme aus.\n

janews \u2013 shutterstock.com<\/p>\n<\/div>\n

Forscher von Morphisec haben einen neuen Remote Access Trojaner<\/a> (RAT) mit dem Namen ResolverRAT entdeckt, der \u00fcber Phishing-E-Mails mit b\u00f6sartigen Anh\u00e4ngen verbreitet wird. Die Angreifer nutzen dabei als K\u00f6der Begriffe wie Urheberrechtsverletzungen, verschiedene Rechtsverst\u00f6\u00dfe und laufende Ermittlungen. Die E-Mails sind in mehreren Sprachen verfasst, darunter Englisch, Hindi, Italienisch, Indonesisch, T\u00fcrkisch, Portugiesisch und Tschechisch, was auf das globale Ausma\u00df der Kampagne hindeutet.<\/p>\n

\u201eW\u00e4hrend in aktuellen Berichten von Check Point und Cisco Talos \u00e4hnliche Phishing-Infrastrukturen und -\u00dcbertragungsmechanismen f\u00fcr Kampagnen zur Verbreitung von Rhadamanthys, beziehungsweise Lumma festgestellt wurden, scheint der von uns beobachtete RAT bisher nicht dokumentiert zu sein\u201c, so die Morphisec-Analysten in ihrem Bericht<\/a>.<\/p>\n

\u201eTrotz klarer \u00dcberschneidungen bei der \u00dcbertragung der Payload<\/a>, den E-Mail-K\u00f6dern und der Wiederverwendung von Bin\u00e4rdateien f\u00fchrt diese Variante eine eigene Loader- und Workload-Struktur ein, die eine Klassifizierung als neue Malware-Familie rechtfertigt\u201c, argumentieren die Security-Experten.<\/p>\n

Ausf\u00fchrung nur im Speicher<\/strong><\/h2>\n

Die Phishing-Mails enthalten ZIP-Anh\u00e4nge, die eine legitime Bin\u00e4rdatei namens hpreader.exe enthalten. Diese ist Teil einer Anwendung namens Haihaisoft PDF Reader. Die Exe-Datei ist anf\u00e4llig f\u00fcr DLL-Side-Loading, das hei\u00dft sie versucht, eine DLL mit einem bestimmten Namen aus demselben laufenden Verzeichnis zu laden.<\/p>\n

Angreifer nutzen DLL-Side-Loading-Probleme aus, um \u00fcber eine legitime Datei b\u00f6sartigen Code in den Speicher zu laden. In diesem Fall platzierten die Angreifer eine b\u00f6sartige DLL-Datei im selben Verzeichnis, die dann automatisch von hpreader.exe geladen und ausgef\u00fchrt wurde.<\/p>\n

ResolverRAT ist in .NET geschrieben und verwendet eine Technik namens .NET-Ressourcen-Resolver-Hijacking. Das Schadprogramm nutzt dabei einen .NET-Mechanismus, um nur im RAM-Speicher zu laufen und niemals Ressourcen auf der Festplatte zu erstellen. Diese Technik zielt darauf ab, Erkennungs-Tools zu umgehen, die Datei- und Win32-API-Vorg\u00e4nge \u00fcberwachen.<\/p>\n

\u201eDurch die Registrierung eines benutzerdefinierten Handlers f\u00fcr ResourceResolve-Ereignisse kann die Malware legitime Ressourcenanfragen abfangen und stattdessen sch\u00e4dliche Assemblie zur\u00fcckgeben\u201c, erkl\u00e4rten die Forscher. \u201cDiese raffinierte Technik erm\u00f6glicht die Einschleusung von Code, ohne den PE-Header zu \u00e4ndern oder verd\u00e4chtige API-Aufrufe zu verwenden, die Sicherheitsl\u00f6sungen ausl\u00f6sen k\u00f6nnten.\u201c<\/p>\n

Eine weitere von der Malware<\/a> eingesetzte Technik wird als \u201eControl Flow Flattening\u201c bezeichnet. Sie solldie statische Codeanalyse durch die Implementierung einer komplizierten State Machine mit Hunderten von Zust\u00e4nden und \u00dcberg\u00e4ngen erheblich erschweren.<\/p>\n

Persistenz und heimliche C2-Kommunikation<\/strong><\/h2>\n

Die neue RAT-Malware verwendet mehrere Persistenzstrategien, darunter mehr als 20 verschleierte Registry-Eintr\u00e4ge und Dateien, die in mehreren Ordnern auf der Festplatte abgelegt werden. Die Schadsoftware zeichnet dabei auf, welche Persistenztechniken erfolgreich waren, um sie als Ausweichmechanismus zu verwenden.<\/p>\n

Die Kommunikation mit dem Command-and-Control-Server<\/a> (C2) l\u00e4uft \u00fcber TLS-Verschl\u00fcsselung mit einer angepassten Methode zur Validierung des Serverzertifikats, die das vom Server bereitgestellte Zertifikat mit einem intern vom Malware-Programm gespeicherten Zertifikat vergleicht. Mehrere IP-Adressen und Portnummern sind fest codiert, um als Ausweichl\u00f6sung zu dienen, falls der prim\u00e4re Server nicht mehr reagiert.<\/p>\n

Die Verbindung mit dem C2-Server erfolgt in zuf\u00e4lligen Abst\u00e4nden, um die Erstellung eines Beaconing-Musters zu verhindern, das von Netzwerk\u00fcberwachungs-Tools h\u00e4ufig erkannt wird. Das Kommunikationsprotokoll verwendet auch die Datenserialisierung, um die \u00dcberpr\u00fcfung des Datenverkehrs zu erschweren. Infizierte Systeme werden nach Kampagnen verfolgt und organisiert. Jedes Opfer verf\u00fcgt \u00fcber ein eindeutiges Authentifizierungstoken, das vom System generiert wird.<\/p>\n

\u201eDie Angleichung der Mechanismen zur Payload, die Wiederverwendung von Artefakten und die K\u00f6derthemen deuten auf ein gemeinsames Affiliate-Modell oder koordinierte Aktivit\u00e4ten zwischen verwandten Bedrohungsgruppen hin.\u201c, schlussfolgern die Morphisec-Forscher. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Der neue Remote Access Trojaner ResolverRAT nutzt DLL-Side-Loading-Probleme aus. janews \u2013 shutterstock.com Forscher von Morphisec haben einen neuen Remote Access Trojaner (RAT) mit dem Namen ResolverRAT entdeckt, der \u00fcber Phishing-E-Mails mit b\u00f6sartigen Anh\u00e4ngen verbreitet wird. Die Angreifer nutzen dabei als K\u00f6der Begriffe wie Urheberrechtsverletzungen, verschiedene Rechtsverst\u00f6\u00dfe und laufende Ermittlungen. Die E-Mails sind in mehreren Sprachen […]<\/p>\n","protected":false},"author":0,"featured_media":2795,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2796","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2796"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2796"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2796\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/2795"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2796"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2796"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2796"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}