ResolverRAT-Malware
Cybersicherheitsforscher haben einen hochentwickelten Remote-Access-Trojaner namens ResolverRAT identifiziert, der aktiv für Angriffe auf den Gesundheits- und Pharmasektor eingesetzt wird. Die neu entdeckte Schadsoftware stellt aufgrund ihres unauffälligen Verhaltens und ihrer komplexen Infektionsmechanismen ein ernstes Risiko dar.
Inhaltsverzeichnis
Phishing-Taktiken: Angst als Waffe
Die Kampagne beginnt mit angsteinflößenden Phishing-E-Mails, die die Empfänger dazu drängen sollen, dringend auf einen bösartigen Link zu klicken. Diese Köder verweisen oft auf rechtliche Probleme oder Urheberrechtsverletzungen und sollen Panik auslösen und eine übereilte Reaktion provozieren. Nach dem Anklicken führt der Link zum Download einer Datei, die die Infektionskette mit ResolverRAT in Gang setzt.
Regionsspezifische Täuschung
Ein herausragendes Element dieser Kampagne ist die Verwendung lokalisierter Phishing-Inhalte. Die E-Mails sind in den Landessprachen der Zielregionen – Hindi, Italienisch, Tschechisch, Türkisch, Portugiesisch und Indonesisch – verfasst. Dies unterstreicht die Absicht der Angreifer, die Infektionsrate durch regionsspezifische Anpassung zu erhöhen.
Infektionsmechanismus: Eine schleichende Kettenreaktion
ResolverRAT nutzt DLL-Sideloading, um seine Infektionskette zu starten. In der ersten Phase wird ein In-Memory-Loader verwendet, um die primäre Nutzlast zu entschlüsseln und auszuführen. Diese wird verschlüsselt, komprimiert und nicht auf die Festplatte geschrieben. Dank dieser Techniken bleibt die Malware von herkömmlichen Sicherheitstools unentdeckt.
Resilienz durch Redundanz
Diese Malware verlässt sich nicht nur auf Tarnung – sie ist auf Überlebensfähigkeit ausgelegt. ResolverRAT verwendet einen mehrstufigen Bootstrapping-Prozess mit redundanten Persistenzmechanismen und nistet sich an verschiedenen Stellen im Windows-Dateisystem und der Registrierung ein. Dadurch wird sichergestellt, dass sich die Malware selbst nach der Entfernung eines Teils erneut etablieren kann.
Erweiterte C2-Infrastruktur: Versteckt in aller Öffentlichkeit
Sobald ResolverRAT aktiv ist, initiiert es eine zertifikatsbasierte Authentifizierung zur Kommunikation mit seinem Command-and-Control-Server (C2) und umgeht so die Validierung der Root-Berechtigung. Es verfügt sogar über eine IP-Rotation, um den C2-Server zu wechseln, falls einer ausfällt, was die Erkennung und Abschaltung zusätzlich erschwert.
Ausweich-Meisterschaft: Unsichtbar, aber vorhanden
Um unauffällig zu bleiben, nutzt ResolverRAT Zertifikats-Pinning, Quellcode-Verschleierung und unregelmäßige Beaconing-Muster. Diese Methoden verbergen nicht nur ihre Präsenz, sondern umgehen auch die Standard-Erkennungstechniken von Sicherheitssystemen.
Stille Datenexfiltration
Das Hauptziel der Malware besteht darin, Befehle vom C2-Server zu empfangen und Daten abzugreifen. Große Dateien werden geschickt in 16-KB-Blöcke aufgeteilt, wodurch das Risiko einer Erkennung durch Netzwerküberwachungstools verringert wird.
Zuordnung noch unklar, aber Muster zeichnen sich ab
Obwohl die Angriffskampagne nicht identifiziert werden kann, deuten Ähnlichkeiten in Infrastruktur, Themen und Techniken – insbesondere die Verwendung von DLL-Sideloading und Phishing-Ködern – auf eine mögliche Verbindung zu zuvor dokumentierten Angriffen hin. Diese Überschneidung könnte auf ein gemeinsames Partnernetzwerk oder koordinierte Aktivitäten von Bedrohungsakteuren hindeuten.
Fazit: Eine anhaltende, schwer zu durchschauende Cyberbedrohung
ResolverRAT verkörpert die nächste Generation von Malware – unauffällig, anpassungsfähig und widerstandsfähig. Sein Design spiegelt ein fundiertes Verständnis moderner Cybersicherheitsmaßnahmen wider und macht es zu einer ernstzunehmenden Bedrohung für die betroffenen Branchen und zu einem vorrangigen Anliegen für Verteidiger.
