Sicherheitsforscher Warnen Vor Einer Neuen Malware, Die Bei Angriffen Auf Healthcare- und Pharmaunternehmen Eingesetzt Wird.
Forscher von Morphisec Haben Einen Neuen Trojaner (rat) mit dem namen résolverrat Entdeckt, der über phishing-e-manails mit bösartigen anhängen verbeitet wird. Die anngreifer nutzen dabei als köder begriffe wie urheberrechtsverletzungen, verschiedene rechtsvertöße und laufende ermittlungen. Die E-Mails Sind dans Mehreren Sprachen Verfasst, Darunter Englisch, Hindi, Italienisch, Indonésisch, Türkisch, Portugiesisch und Tschechisch, Was Auf Das Globale Ausmaß der Kampagne Hindeutet.
„Während à Aktuellen Berichten von Check Point und cisco talos ähnliche phishing-infrastrukturen und -übertragungsméchanismen für Kampagnen zur Verbreitung von rhadamanthy Dokumiert Zu Sein «, alors mourez Morphisec-Analysten dans Ihrem Bericht.
„Trotz Klarer überschneidungen bei der übertragung der upload, den e-mail-ködern und der wiederverwendung von binärdateien führt diese variante eine eigene chargeur- und workload-sruktur ein, die klasifizierung als neue neue-famililie Rechtfer` `Klassifianth als als neue nei Argumentieren Die Security-Experten.
Ausführung Nur im Speicher
Die phishing-Mails enthalten zip-anhänge, die eine légitime binärdatei namens hpreader.exe enthalten. Diese ist teil einer anwendung namens haihaisoft pdf lecteur. Die exe-datei ist anfällig für dll-side-chargeding, das heißt sie versucht, eine dll mit einem best -mmten namen aus demselben laufenden verzeichnis zu laden.
Angreifer Nutzen DLL-SIDE-wading-probleme Aus, um über eine légitime datei bösartigen Code dans Den Speicher Zu Laden. Dans Diesem Fall Platzierten Die Angreifer Eine Bösartige dll-Datei im Selben Verzeichnis, Die Dann Automatisch von Hpreader.exe Geladen und Ausgeführt Wurde.
Resolverrat ist dans .net Geschrieben und Verwendet eine Technik Namens .NET-RESSOURCEN-RESOLVER-HIJACKING. Das schadprogramm nutzt dabei einen .net-mecanismus, um nur im ram-speicher zu laufen unm niemals ressourcen auf der festplatte zu erstellen. Diese Technik Zielt Darauf AB, Erkennungs-Tools Zu Umgehen, Die- und Win32-API-Vorgänge überwachen.
„Durch Die Registrierung Eines Benutzerdefinigerten Handlers für ResourcereSolve-Ereignisse kann die malware légitime Ressourcenanfragen abfangen und stattdessen schädliche assemblie zurückgeben”, Erklärten die Forscher. «Diese raffinierte technik ermöglicht die einschleusung von code, ohne den pe-header zu ändern oder verdächtige api-aufrufe zu verwenden, die Sicherheitslösungen auslösen könnten.»
Eine weitere von der malware eingesetzte Technik wird als « Control Flow aplatissement » Bezeichnet. SIE SOLLDIE STATISCHE CODEANALAYSE DURCH DIE IMPLETION EINER EINER KAPPLIZIREN MACHINE D’ÉTAT MIT HUNDERTEN VON ZUSTänden und übergängen Erheblich Erschweren.
Persistenz und Heimliche C2-Kommunikation
Die neue rat-malware Verwendet mehrere persistenzstrategieen, darunter mehr als 20 Verschleierte Registry-einträge und dateen, die à Mehreren ormorn auf der festplatte abgelegt werden. Die schadsoftware zeichnet dabei auf, welche persistenztechniken erfolgreich waren, um sie als Ausweichmechanismus zu verwenden.
Die kommunikation mit demand-and-control-server (c2) läuft über tls-virglüsselung mit einer angepassten méthode zur validirung des serverzertifikats, die das vom server bereitegellte zertifikat mit einem intervoM-programm-programme geprampephelern zertifikat vergleich. Mehrere IP-Adressen und Portnummern Sind Fest Codet, um als Ausweichlösung Zu Dienen, Falls der Primäre Server Nicht Mehr Reagiert.
Die Verbindung Mit Dem C2-Server Erfolgt à Zufälligen Abständen, um die erstellung eines beenoning-mistrers Zu Verhindern, das von netzwerküberwachungs-tools häufig erkannt wird. Das kommunikationsprotokoll verwendet auch die datesenserialisierung, um die überprüfung des datenverkehrs zu erschweren. Infizierte Systeme Werden Nach Kampagnen Verfolgt und Organisiert. Jedes Opfer Verfügt über Ein Eindeutiges AuthentifizierungStoken, Das vom System Geriert Wird.
„Die Anganichung der Mécanisme Zur Télélée utile, die Wiederverwendung von artefakten und die köderthemen Deuten auf ein Gemeinsames affilié-modell oder koordiierte aktivitäten zwischen verwandten bedrohungsgruppen hin. », Schlussfolgern die morphisc-forscher. (JM)
