Cyberangriff auf Gesundheitsbranche : ResolverRAT bedroht Pharmaindustrie
Cybersicherheitsforscher von Morphisec Labs haben mit ResolverRAT eine neue, hoch entwickelte Fernzugriffs-Schadsoftware (Remote Access Trojan) identifiziert, die sich gezielt gegen Organisationen im Gesundheits- und Pharmasektor richtet. Die Schadsoftware agiert hochpräzise und hat es besonders auf sensible Daten abgesehen.
Die Schadsoftware ResolverRAT wird über eine clever konstruierte Phishing-Kampagne verteilt, bei der die Opfer unter Druck gesetzt werden, auf einen bösartigen Link zu klicken. „Die Angreifer setzen gezielt auf Angst und Stress“, erklärt Nadav Lorber von Morphisec. „Die Phishing-Mails suggerieren rechtliche Konsequenzen oder Urheberrechtsverstöße, um Opfer zur Interaktion zu drängen.“
Die zuletzt am 10. März 2025 beobachtete Angriffswelle weist deutliche Parallelen in Infrastruktur und Verbreitungsweg zu früheren Phishing-Kampagnen auf, über die Datendiebstahl-Malware wie Lumma und Rhadamanthys verbreitet wurde – wie bereits im vergangenen Jahr von Cisco Talos und Check Point dokumentiert.
Regional angepasst und mehrsprachig
Die Angriffe sind gut vorbereitet und an die jeweiligen Zielregionen angepasst: Die Phishing-Mails werden in Landessprachen wie Hindi, Italienisch, Tschechisch, Türkisch, Portugiesisch und Indonesisch verfasst. Damit sollen möglichst viele Nutzer überzeugt und infiziert werden.
Nach dem Klick auf den in der Mail eingebetteten Link wird ein Download ausgelöst. Öffnet das Opfer die Datei, beginnt eine mehrstufige Infektionskette, bei der unter anderem die Technik des DLL Sideloading zum Einsatz kommt – ein Verfahren, bei dem eine schädliche Programmdatei über eine eigentlich harmlose, vertrauenswürdige Anwendung eingeschleust wird.
Die erste Phase besteht aus einem In-Memory-Loader, der die eigentliche Schadsoftware entschlüsselt, ausführt und dabei diverse Verschleierungstechniken einsetzt. Die Schadsoftware existiert ausschließlich im Arbeitsspeicher, was ihre Erkennung deutlich erschwert.
Tarnung, Ausfallsicherheit und Kontrolle
Die Startsequenz von ResolverRAT ist hochgradig modular aufgebaut. Die Malware sichert sich auf mehreren Ebenen dauerhaften Zugriff, unter anderem durch Manipulation der Windows-Registrierung und durch Redundanz bei Installationspfaden.
Für die Kommunikation mit dem Command-and-Control-Server (C2) nutzt ResolverRAT ein eigens entwickeltes Authentifizierungssystem auf Zertifikatsbasis, das Root-Zertifizierungsstellen umgeht. Sollte der primäre C2-Server ausfallen oder abgeschaltet werden, kommt ein IP-Rotationssystem zum Einsatz, das automatisch auf einen alternativen Server wechselt.
Zusätzliche Tarnmechanismen umfassen:
- Certificate Pinning, um Sicherheitsüberwachung zu umgehen
- Obfuskation des Quellcodes
- Unregelmäßige Beaconing-Muster, um typische Kommunikationsverläufe zu vermeiden
„Diese ausgefeilte C2-Infrastruktur zeigt, wie professionell die Angreifer vorgehen“, betont Morphisec. „Sie kombinieren sichere Kommunikation, Ausweichmechanismen und Täuschungstaktiken, um dauerhaft Zugriff zu behalten – möglichst unentdeckt.“
Ziel: „stille“ Datenexfiltration
Sobald ResolverRAT aktiv ist, empfängt es Befehle vom C2-Server, führt sie aus und sendet die Ergebnisse zurück. Datenpakete, die größer als 1 MByte sind, werden dabei in kleine 16-Kilobyte-Blöcke aufgeteilt, um Sicherheitslösungen zu umgehen und keine Aufmerksamkeit zu erregen.
Eine klare Zuordnung der Kampagne zu einer bekannten Angreifergruppe gibt es bislang nicht. Allerdings deuten Parallelen bei Phishing-Köderthemen und Technik – insbesondere beim DLL Sideloading – auf mögliche Verbindungen zu früheren Angriffen mit Malware wie Lumma oder Rhadamanthys hin. Auch eine gemeinsame Infrastruktur oder ein Affiliatenetzwerk unter verschiedenen Gruppen ist laut Morphisec denkbar.
Neptune RAT: Erpressung, Spionage und sogar Systemzerstörung
Das Sicherheitsunternehmen CYFIRMA warnt vor einer weiteren gefährlichen Schadsoftware: Neptune RAT – ein Fernzugriffstrojaner, der es in sich hat. Die Malware ist modular aufgebaut, arbeitet mit erweiterbaren Plugins und kann:
- Zugangsdaten auslesen
- Systemzugriffe dauerhaft sichern
- Lösegeld fordern (500 US-Dollar)
- und sogar den Master Boot Record (MBR) überschreiben – was den Computer beim nächsten Start unbrauchbar macht.
Verbreitet wird Neptune RAT offen und kostenlos über Plattformen wie GitHub, Telegram und YouTube. Der zugehörige Entwickler-Account namens MasonGroup (auch bekannt als FREEMASONRY) wurde inzwischen gelöscht – doch die Malware kursiert weiterhin.
Ein Arsenal an Schadfunktionen
Laut CYFIRMA wurde Neptune RAT entwickelt, um möglichst lange unentdeckt im System zu bleiben und dabei umfangreiche Schäden anzurichten. Zu den wichtigsten Funktionen gehören:
- Ein „Crypto Clipper“, der Krypto-Zahlungen umleitet
- Ein Passwortdieb, der Daten aus über 270 verschiedenen Anwendungen ausliest
- Eine Ransomware-Komponente, die Dateien verschlüsselt und Lösegeld verlangt
- Eine Funktion zur Live-Überwachung des Bildschirms, die gezielte Spionage ermöglicht
Die Malware ist mit fortschrittlichen Tarnmechanismen ausgestattet, um Analyse- und Sicherheitstools zu umgehen, und setzt auf mehrere Tricks zur dauerhaften Installation, etwa über die Windows-Registrierung. Damit ist sie eine nicht zu unterschätzende Gefahr für Unternehmen und Privatanwender gleichermaßen.