Les chercheurs de Morphisec Labs ont identifié un nouveau cheval de Troie d’accès à distance (RAT) sophistiqué, nommé ResolverRAT, ciblant principalement les secteurs de la santé et de la pharmacie à l’échelle mondiale.
Cibles Privilégiées : Santé et Pharmaceutique
Les hôpitaux, laboratoires pharmaceutiques et entreprises de biotechnologie sont particulièrement visés en raison de la valeur stratégique de leurs données : dossiers médicaux, essais cliniques, formules brevetées, etc.
Fonctionnement de ResolverRAT
1. Phishing Ciblé
Les attaques débutent par des e-mails de phishing personnalisés, souvent rédigés en hindi, italien, tchèque, turc, portugais ou indonésien. Ces messages évoquent des sujets anxiogènes tels que des enquêtes légales ou des violations de droits d’auteur, incitant les destinataires à télécharger un fichier malveillant.
2. Chargement en Mémoire
Le malware utilise la technique du « DLL side-loading » en exploitant des exécutables légitimes vulnérables, comme hpreader.exe, pour injecter son code directement en mémoire. Cela lui permet d’éviter l’écriture sur le disque et de contourner les solutions antivirus traditionnelles.
3. Techniques d’Évasion Avancées
ResolverRAT se distingue par :
- L’utilisation d’événements
.NET ResourceResolvepour charger dynamiquement des assemblages malveillants, rendant l’analyse statique difficile. - La détection d’environnements d’analyse via le fingerprinting des requêtes de ressources.
- L’obfuscation du flux de contrôle à l’aide d’une machine à états complexe.
4. Persistance et Communication
Pour assurer sa persistance, le malware :
- Ajoute des clés obfusquées dans jusqu’à 20 emplacements du registre Windows.
- Se copie dans des dossiers système tels que
Startup,Program FilesetLocalAppData.
La communication avec les serveurs de commande et de contrôle (C2) est sécurisée par :
- L’utilisation de certificats personnalisés pour l’authentification.
- La rotation fréquente des adresses IP pour éviter le blacklisting.
Derniers Développements (Avril 2025)
Attaques Récentes
Une vague d’attaques a été observée début mars 2025, avec des campagnes de phishing ciblant des employés de laboratoires pharmaceutiques en France et en Allemagne. Les e-mails contenaient des liens vers des fichiers PDF exploitant des vulnérabilités non corrigées dans les lecteurs Adobe et FoxIT.
Infrastructure C2 Caméléon
Les serveurs C2 de ResolverRAT changent d’adresse IP toutes les 6 minutes, en s’appuyant sur des botnets IoT composés de routeurs compromis, rendant leur détection et leur blocage particulièrement difficiles.
Recommandations de Sécurité
Pour se prémunir contre ResolverRAT :
- Formation : Sensibiliser les employés aux risques de phishing, notamment via des simulations régulières.
- Mises à jour : Appliquer rapidement les correctifs de sécurité, en particulier pour les lecteurs PDF et les outils collaboratifs.
- Macros : Désactiver les macros Office par défaut.
- EDR : Utiliser des solutions de détection et de réponse sur les endpoints (EDR) capables d’identifier les activités suspectes en mémoire.
Outils recommandés :
- Morphisec : Détection avancée des attaques en mémoire.
- CrowdStrike Falcon : Analyse comportementale.
- Microsoft Defender for Endpoint : Protection intégrée pour Windows.
ResolverRAT représente une menace sérieuse et évolutive pour les secteurs de la santé et de la pharmacie. Une vigilance accrue et des mesures de sécurité proactives sont essentielles pour contrer cette menace.
Liens utiles: