هجوم ResolverRAT.. برنامج تجسس متطور يستهدف قطاعي الرعاية الصحية والأدوية عبر التصيّد وتحميل DLL

كشف باحثون في الأمن السيبراني عن حصان طروادة جديد متطور للوصول عن بُعد يُدعى ResolverRAT، تم رصده في هجمات تستهدف قطاعي الرعاية الصحية والأدوية.

وأوضح الباحث ناداف لوربر من مورفيسك لابس في تقرير نُشر على The Hacker News: “يعتمد المهاجمون على رسائل تصيد احتيالي مصممة لإثارة الخوف، مما يدفع الضحايا إلى النقر على رابط خبيث. عند النقر، يتم توجيه المستخدم لتحميل ملف ضار يُحفز سلسلة تنفيذ ResolverRAT.”

تم رصد هذه الحملة حتى 10 مارس 2025، وتشترك في بنيتها التحتية وآليات التوزيع مع حملات تصيد سابقة استهدفت سرقة المعلومات عبر برامج ضارة مثل Lumma وRhadamanthys، كما وثّقتها Cisco Talos وCheck Point العام الماضي.

استهداف محلي متعدد اللغات

تميزت الحملة باستخدام رسائل تصيد مخصصة بلغات الضحايا، مثل:

• الهندية
• الإيطالية
• التشيكية
• التركية
• البرتغالية
• الإندونيسية

مما يشير إلى محاولات المهاجمين توسيع نطاق الاستهداف عبر رسائل ذات صبغة إقليمية لزيادة معدلات الإصابة.

آلية التنفيذ والتخفي

تعتمد سلسلة العدوى على تقنية تحميل DLL الجانبي، حيث:

1. يتم تحميل شفرة خبيثة في الذاكرة لفك تشفير الحمولة الرئيسية.
2. يستخدم ResolverRAT التشفير والضغط ويبقى في الذاكرة فقط بعد فك تشفيره.

وأضاف لوربر: “تكشف عملية التهيئة عن آلية متعددة المراحل مصممة للتخفي والمقاومة، مع تنفيذ طرق متعددة للاستمرارية عبر سجل ويندوز وملفات النظام.”

اتصال متطور مع خوادم C2

• يستخدم البرنامج مصادقة معتمدة على الشهادات لتجاوز سلطات الجذر.
• يعتمد نظام تناوب عناوين IP للاتصال بخادم بديل إذا تعطل الرئيسي.
• يتضمن تقنيات مثل تثبيت الشهادات، إرباك الشفرة المصدرية، وأنماط اتصال غير منتظمة لتجنب الاكتشاف.

سرقة البيانات بتقسيمها

يهدف البرنامج إلى:

• تنفيذ أوامر خادم C2.
• سرقة البيانات مع تقسيم الملفات الأكبر من 1 ميجابايت إلى أجزاء بحجم 16 كيلوبايت لتقليل فرص الاكتشاف.

صلة محتملة بمجموعات قرصنة أخرى

رغم عدم تحديد الجهة المسؤولة، تشير أوجه التشابه مع هجمات سابقة إلى ارتباط محتمل بمجموعات متورطة في أنشطة مشتركة.

في سياق متصل: ظهور حصان طروادة Neptune RAT

كشفت CYFIRMA عن حصان طروادة آخر يُدعى Neptune RAT، يتميز بـ:

• نهج يعتمد على وحدات إضافية.
• قدرات فدية بقيمة 500 دولار.
• إتلاف سجل الإقلاع الرئيسي (MBR).
• سرقة بيانات أكثر من 270 تطبيقاً.

يتم توزيعه مجاناً عبر GitHub وTelegram وYouTube، لكن الحساب المرتبط به (MasonGroup) أصبح غير متاح.