В марте 2025 года специалисты Morphisec Labs выявили активную кампанию с применением нового удалённого трояна ResolverRAT, направленную против организаций здравоохранения и фармацевтической отрасли. Исследователь Надaв Лорбер из Morphisec отмечает: «ResolverRAT использует сложную и многоуровневую архитектуру для скрытого проникновения и стойкого присутствия в инфраструктуре жертвы».
Атака начинается с фишинговых писем, в которых используются методы психологического давления — темы сообщений связаны с юридическими расследованиями и нарушениями авторских прав, вызывая у получателей чувство срочности. Для повышения эффективности рассылки письма локализованы на языки целевых регионов: хинди, итальянский, чешский, турецкий, португальский и индонезийский. В письме содержится вредоносная ссылка, переход по которой инициирует загрузку и запуск ResolverRAT.
Технический анализ показал, что заражение происходит с помощью механизма DLL side-loading: вредоносный код внедряется через подмену легитимной динамической библиотеки. После запуска внедрённый загрузчик в памяти дешифрует и выполняет основной вредоносный модуль, избегая записи файлов на диск. Для повышения скрытности используются методы многократной компрессии и шифрования, что затрудняет обнаружение на ранних этапах.
ResolverRAT реализует устойчивость с помощью нескольких методов сохранения — от модификации реестра Windows до размещения копий в различных местах файловой системы. Коммуникация с управляющим сервером построена на кастомной схеме аутентификации по сертификату, минуя стандартные корневые центры сертификации. При недоступности основного C2-сервера происходит автоматическое переключение на резервную инфраструктуру. Для обхода средств обнаружения применяются пининг сертификатов, обфускация исходного кода и нерегулярные сигналы (beaconing) к C2.
Возможности ResolverRAT включают выполнение команд, полученных от управляющего сервера, и эксфильтрацию данных. Для передачи объёмных файлов более 1 МБ внедрён механизм разбиения на фрагменты по 16 КБ, что снижает вероятность выявления аномального сетевого трафика. По данным Morphisec, инфраструктура и тактики атаки частично совпадают с предыдущими кампаниями по распространению stealers Lumma и Rhadamanthys, задокументированными Cisco Talos и Check Point в 2024 году. Однако прямой атрибуции к конкретной группе или стране пока не установлено, что может свидетельствовать о работе по аффилированной модели.
Morphisec подчёркивает: «Инфраструктура командования и управления ResolverRAT сочетает защищённую коммуникацию, резервные сценарии подключения и технологические уловки для постоянного незаметного доступа».
Параллельно исследователи CYFIRMA описали появление другой многофункциональной угрозы — Neptune RAT. Этот троян обладает модульной архитектурой, поддерживает подключение плагинов и нацелен на массовое похищение информации. Neptune RAT распространяется бесплатно через GitHub, Telegram и YouTube, а связанный с ним профиль MasonGroup (также известный как FREEMASONRY) уже заблокирован. Среди возможностей Neptune RAT: криптоклиппер, кража паролей из более чем 270 приложений, встроенный шифровальщик с требованием выкупа $500, перезапись загрузочного сектора (MBR) для вывода Windows из строя, а также инструменты для скрытого мониторинга экрана пользователя и устойчивости в системе.
Neptune RAT отличается продвинутыми средствами противодействия анализу и многочисленными методами сохранения присутствия. CYFIRMA отмечает, что открытое распространение на популярных платформах резко увеличивает риск неконтролируемого распространения и масштабных атак.
Обе угрозы демонстрируют эволюцию инструментов кибершпионажа и вымогательства: акцент на скрытности, устойчивости, модульности и адаптации под целевые секторы — прежде всего здравоохранение и фармацевтику, где компрометация данных и прерывание процессов могут иметь критические последствия.
Изображение носит иллюстративный характер
Атака начинается с фишинговых писем, в которых используются методы психологического давления — темы сообщений связаны с юридическими расследованиями и нарушениями авторских прав, вызывая у получателей чувство срочности. Для повышения эффективности рассылки письма локализованы на языки целевых регионов: хинди, итальянский, чешский, турецкий, португальский и индонезийский. В письме содержится вредоносная ссылка, переход по которой инициирует загрузку и запуск ResolverRAT.
Технический анализ показал, что заражение происходит с помощью механизма DLL side-loading: вредоносный код внедряется через подмену легитимной динамической библиотеки. После запуска внедрённый загрузчик в памяти дешифрует и выполняет основной вредоносный модуль, избегая записи файлов на диск. Для повышения скрытности используются методы многократной компрессии и шифрования, что затрудняет обнаружение на ранних этапах.
ResolverRAT реализует устойчивость с помощью нескольких методов сохранения — от модификации реестра Windows до размещения копий в различных местах файловой системы. Коммуникация с управляющим сервером построена на кастомной схеме аутентификации по сертификату, минуя стандартные корневые центры сертификации. При недоступности основного C2-сервера происходит автоматическое переключение на резервную инфраструктуру. Для обхода средств обнаружения применяются пининг сертификатов, обфускация исходного кода и нерегулярные сигналы (beaconing) к C2.
Возможности ResolverRAT включают выполнение команд, полученных от управляющего сервера, и эксфильтрацию данных. Для передачи объёмных файлов более 1 МБ внедрён механизм разбиения на фрагменты по 16 КБ, что снижает вероятность выявления аномального сетевого трафика. По данным Morphisec, инфраструктура и тактики атаки частично совпадают с предыдущими кампаниями по распространению stealers Lumma и Rhadamanthys, задокументированными Cisco Talos и Check Point в 2024 году. Однако прямой атрибуции к конкретной группе или стране пока не установлено, что может свидетельствовать о работе по аффилированной модели.
Morphisec подчёркивает: «Инфраструктура командования и управления ResolverRAT сочетает защищённую коммуникацию, резервные сценарии подключения и технологические уловки для постоянного незаметного доступа».
Параллельно исследователи CYFIRMA описали появление другой многофункциональной угрозы — Neptune RAT. Этот троян обладает модульной архитектурой, поддерживает подключение плагинов и нацелен на массовое похищение информации. Neptune RAT распространяется бесплатно через GitHub, Telegram и YouTube, а связанный с ним профиль MasonGroup (также известный как FREEMASONRY) уже заблокирован. Среди возможностей Neptune RAT: криптоклиппер, кража паролей из более чем 270 приложений, встроенный шифровальщик с требованием выкупа $500, перезапись загрузочного сектора (MBR) для вывода Windows из строя, а также инструменты для скрытого мониторинга экрана пользователя и устойчивости в системе.
Neptune RAT отличается продвинутыми средствами противодействия анализу и многочисленными методами сохранения присутствия. CYFIRMA отмечает, что открытое распространение на популярных платформах резко увеличивает риск неконтролируемого распространения и масштабных атак.
Обе угрозы демонстрируют эволюцию инструментов кибершпионажа и вымогательства: акцент на скрытности, устойчивости, модульности и адаптации под целевые секторы — прежде всего здравоохранение и фармацевтику, где компрометация данных и прерывание процессов могут иметь критические последствия.
