'ResolverRAT'이라는 새로운 원격 접근 트로이 목마(RAT)가 전 세계 조직을 대상으로 사용되고 있습니다. 최근에는 특히 의료 및 제약 분야를 공격하였습니다. ResolverRAT은 대상 국가의 언어에 맞춰 법적 또는 저작권 침해라는 주장을 담은 피싱 이메일을 통해 배포됩니다. 이메일에는 합법적인 실행 파일('hpreader.exe')을 다운로드하는 링크가 포함되어 있으며, 이를 통해 ResolverRAT이 반사 DLL 로딩을 사용하여 메모리에 주입됩니다.
이전에 문서화되지 않은 이 맬웨어는 Morphisec에 의해 발견되었습니다. Morphisec는 최근 Check Point와 Cisco Talos의 보고서에서 문서화된 동일한 피싱 인프라를 언급하였습니다. 그러나 이러한 보고서들은 Rhadamanthys와 Lumma stealers의 배포를 강조하면서, 독특한 ResolverRAT 페이로드를 포착하지 못했습니다. ResolverRAT은 메모리 전체에서 실행되는 은밀한 위협이며, .NET 'ResourceResolve' 이벤트를 악용하여 의심스러운 API 호출을 수행하지 않고 악성 어셈블리를 로드합니다.
ResolverRAT은 복잡한 상태 기계를 사용하여 제어 흐름을 난독화하고 정적 분석을 매우 어렵게 만듭니다. 또한 리소스 요청을 지문화하여 샌드박스와 분석 도구를 감지합니다. 디버깅 도구가 존재하는 상황에서도 실행되지만, 오해를 불러일으키고 불필요한 코드/작업을 사용하여 분석을 복잡하게 만듭니다. 이 맬웨어는 Windows 레지스트리의 최대 20개 위치에 XOR-난독화 키를 추가하여 지속성을 확보합니다. 동시에 'Startup', 'Program Files', 'LocalAppData'와 같은 파일시스템 위치에도 자신을 추가합니다.
- 'ResolverRAT'이라는 새로운 원격 접근 트로이 목마(RAT)가 전 세계 조직을 대상으로 사용되고 있으며, 최근에는 특히 의료 및 제약 분야를 공격하였다.
- 이 맬웨어는 대상 국가의 언어에 맞춰 법적 또는 저작권 침해라는 주장을 담은 피싱 이메일을 통해 배포되며, 합법적인 실행 파일을 다운로드하는 링크를 통해 메모리에 주입된다.
- ResolverRAT은 메모리 전체에서 실행되는 은밀한 위협이며, .NET 'ResourceResolve' 이벤트를 악용하여 의심스러운 API 호출을 수행하지 않고 악성 어셈블리를 로드한다.
- 이 맬웨어는 복잡한 상태 기계를 사용하여 제어 흐름을 난독화하고 정적 분석을 매우 어렵게 만든다.
- ResolverRAT은 Windows 레지스트리의 최대 20개 위치에 XOR-난독화 키를 추가하여 지속성을 확보하며, 'Startup', 'Program Files', 'LocalAppData'와 같은 파일시스템 위치에도 자신을 추가한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.