RAT

ResolverRAT」と呼ばれる新たなリモート・アクセス・トロイの木馬(RAT)が世界中の組織に対して使用されており、最近の攻撃で使用されたマルウェアはヘルスケアおよび製薬セクターを標的としている。

ResolverRATは、ターゲットの国の言語に合わせた法律や著作権違反を主張するフィッシングメールを通じて配布される。

この電子メールには、正規の実行ファイル(’hpreader.exe’)をダウンロードするためのリンクが含まれており、このリンクを活用して、リフレクティブ DLL ローディングを使用して ResolverRAT をメモリに注入します。

これまで文書化されていなかったこのマルウェアはMorphisecによって発見されたもので、Morphisecは同じフィッシング・インフラがCheck PointとCisco Talosによる最近のレポートで文書化されていることを指摘している。

しかし、これらのレポートでは、RhadamanthysとLumma stearerの配布が強調されており、ResolverRATの明確なペイロードを捉えることはできませんでした。

ResolverRATの機能

ResolverRATは、完全にメモリ内で実行されるステルス型の脅威であり、また.NETの「ResourceResolve」イベントを悪用して、不審なフラグが立つ可能性のあるAPIコールを実行せずに悪意のあるアセンブリをロードします。

「このリソース・リゾルバ・ハイジャックは、マルウェアの進化の最たるもので、見過ごされていた.NETのメカニズムを利用して、完全にマネージド・メモリ内で動作し、Win32 APIとファイル・システム操作に焦点を当てた従来のセキュリティ監視を回避します」とMorphisecは説明している

研究者によると、ResolverRATは複雑なステートマシンを使って制御フローを難読化し、静的解析を極めて困難にしており、リソース要求のフィンガープリントによってサンドボックスや解析ツールを検出する。

たとえデバッグ・ツールがある状態で実行されたとしても、誤解を招きやすい冗長なコードやオペレーションを使用することで、解析を複雑にするように設計されています。

このマルウェアは、Windowsレジストリの最大20箇所にXOR難読化キーを追加することで、永続性を確保します。同時に、「スタートアップ」、「Program Files」、「LocalAppData」などのファイルシステムの場所にも自身を追加します。

Registry-based persistence
Registry-based persistence
ソースはこちら:Morphisec

ResolverRATは、不規則なビーコンパターンに基づく検出を回避するため、ランダムな間隔でスケジュールされたコールバックで接続を試みます。

オペレーターが送信するコマンドはすべて専用のスレッドで処理されるため、並列タスクの実行が可能で、失敗したコマンドがマルウェアをクラッシュさせることはありません。

MorphisecはResolverRATがサポートするコマンドについて詳しく説明していないが、大きなデータ転送のためのチャンキングメカニズムによるデータ流出機能について言及している。

具体的には、1MBを超えるファイルは16KBのチャンクに分割され、悪意のあるトラフィックを通常のパターンと混ぜることで検知を回避する。

Breaking large files into chunks
より大きなファイルをチャンクに分割
出典:Morphisec:Morphisec

各チャンクを送信する前に、ResolverRATはソケットが書き込み可能かどうかをチェックし、混雑したネットワークや不安定なネットワークからのエラーを防ぎます。

このメカニズムは、最適なエラー処理とデータ回復を特徴としており、最後に成功したチャンクから転送を再開する。

Morphisecは、イタリア語、チェコ語、ヒンディー語、トルコ語、ポルトガル語、インドネシア語でフィッシング攻撃を観測している。