1. 簡介

ResolverRAT 展現了幾項顯著的技術特徵，包括進階的記憶體內執行、在運行時動態解析 API 和資源，以及多層次的規避技術。 1 這些功能旨在讓惡意軟體隱祕運作並規避傳統安全解決方案的偵測。本報告旨在根據 Morphisec 部落格文章中的詳細資訊，對 ResolverRAT 進行全面的技術分析。分析將深入探討惡意軟體的初始存取機制、執行流程、採用的各種反分析技術、命令與控制基礎設施、持續性策略、資料外洩方法，以及組織可以採取的潛在防禦策略，以保護自己免受此新興威脅。本報告的結構將遵循惡意軟體的生命週期，從初始入侵到持續運作及其對受損系統的潛在影響。

2. 初始存取與感染途徑

ResolverRAT 進入目標系統的初始入口點是透過精心設計的社交工程攻擊，主要是利用釣魚郵件。 1 這些郵件目的在誘騙收件人採取行動，導致惡意軟體的執行。這些釣魚攻擊的一個關鍵特點是使用針對性且本地化的主題，通常採用基於恐懼的策略，提及法律調查或版權侵犯。 1 透過將郵件的語言和內容調整為目標國家的母語，並提及特定區域的問題，Threat actor 提高了其嘗試的可信度，大幅增加用戶互動的可能性。 1 這種涉及多國本地化誘餌的精密程度，顯示出一個組織良好且具全球意識的操作，目的為最大化感染率。 1 常見的社交工程策略，如利用權威感、製造緊急感以及利用信任，可能是進一步操縱收件人的手段。 12

Payload，啟動 ResolverRAT 感染鏈的元件，是透過一種稱為DLL side-loading的技術傳遞。 1 在此方法中，一個惡意的動態連結庫 (DLL) 檔案被下載並放置在與合法、簽署的可執行檔案（在此案例中為 "hpreader.exe"）相同的目錄中。 1 合法應用程式隨後被誘騙載入惡意 DLL，而非預期的合法 DLL。 14 這種利用 Windows DLL 搜尋順序的行為，使攻擊者的惡意庫在合法庫之前被載入並執行。 14 使用DLL side-loading是一個策略性選擇，因為它允許惡意軟體在受信任且簽署的應用程式環境中執行，經常繞過可能標記未簽署或未知可執行檔案的初始安全檢查。 14 值得注意的是，這種傳遞機制也曾在分發 Rhadamanthys 惡意軟體的活動中被觀察到，顯示這兩個威脅之間可能存在關聯，或許是透過程式碼重用、共享基礎設施或共同的 Threat actor 團體。 1 這種技術的重用表明 Threat actor 經常改進成功的方法，甚至可能從其他惡意軟體家族中引入程式碼以增強其運作。DLL side-loading是多種惡意軟體家族用於持續性、權限提升和防禦規避的常見技術。 15

3. 核心架構與執行流程的深入分析

ResolverRAT 的技術細節從其核心架構與執行流程的檢查開始展開，如 Morphisec 提供的流程圖所示。 1 初始階段涉及惡意載入器 DLL 的執行，這是由DLL side-loading技術促成，涉及無害的 "hReader.exe" 應用程式。 1 這確認了惡意軟體利用受信任的程序來啟動其執行。在載入後，載入器 DLL 立即進行一系列反分析檢查。 1 這些檢查的早期實現凸顯了惡意軟體從一開始就設計用於規避偵測。 1 透過檢查環境中是否存在沙箱或虛擬機等分析工具的指標，惡意軟體可以在揭示其核心惡意功能之前終止執行或改變行為，以防止深入檢查。

執行流程的下一步涉及解析必要的 API 導入。 1 此過程包括載入器識別並定位執行其 Payload 所需的特定功能和庫。在運行時解析這些依賴項為靜態分析帶來了重大挑戰。 1 由於惡意軟體所需元件在二進位檔案中並非立即可見，試圖在不執行它的情況下理解其功能的分析師面臨相當大的障礙。在導入解析後，載入器繼續載入嵌入在惡意軟體中的加密資源。 1 這些加密資源可能包含主要的惡意 Payload 和其他可能的設定資料。一旦載入，這些加密資源會進行解密過程。 1 解密的細節將在後續章節中探討。解密後，Payload 使用 GZip 演算法進行解壓縮。 1 這種壓縮增加了另一層混淆，進一步阻礙分析，因為需要額外的步驟來存取實際的惡意程式碼。解壓縮的 Payload 隨後被反射式載入記憶體。 1 這項技術是惡意軟體規避策略的關鍵，因為它允許 Payload 完全在電腦記憶體中運作，而不寫入磁碟。 1 透過最小化其在檔案系統上的足跡，ResolverRAT 大幅降低了被傳統基於檔案的防毒解決方案偵測到的機會。圖示執行流程的最後階段是執行 "Visible Handler"，在 Morphisec 文章中後來被識別為 RunVisibleHandler() 方法。 1 此方法負責啟動用於最終 Payload 解密的複雜狀態機，這種技術旨在使靜態分析極為困難，因為其控制流程複雜且非線性。

4. Payload 加密與解密機制的詳細檢查

ResolverRAT 採用強大且多層次的方法來保護其核心 Payload，從強大的加密開始。該惡意軟體使用進階加密標準 (AES) 搭配 256 位元金鑰，以密碼區塊鏈結 (CBC) 模式實現，透過 .NET System.Security.Cryptography 命名空間實作。 1 選擇 AES-256，這是一個廣泛認可且高度安全的加密演算法，突顯了惡意軟體保護其惡意功能免於輕易分析的意圖。 1 CBC 操作模式需要為每次加密過程提供一個初始化向量 (IV)，進一步增強了安全性，確保多次加密相同的明文會產生不同的密文。關鍵的是，加密金鑰和初始化向量 (IV) 並未直接儲存在惡意軟體的程式碼中，而是以整數形式混淆，並在運行時解碼。 1 這種混淆技術是有意圖的，目的在防止靜態分析輕易揭示這些關鍵的加密元件。 1 分析惡意軟體二進位檔案的分析師需要成功逆向工程去混淆程序，才能取得解密所需的實際金鑰和 IV。

為增加另一層保護，Payload 同時進行 AES-256 加密和 GZip 壓縮。 1 這種雙層方法顯著增加了分析 Payload 的複雜性。 1 要存取 Payload 的內容，分析師首先需要使用正確的金鑰和 IV 進行解密，然後使用 GZip 演算法進行解壓縮。ResolverRAT 的一個顯著特徵是完全解密的 Payload 僅存在於記憶體中。 1 這種僅在記憶體中執行的行為，通常被稱為「fileless」惡意軟體，是一種常見且有效的規避策略，因為它最小化了惡意軟體在檔案系統上的足跡，使依賴檔案掃描的傳統防毒解決方案更難以偵測。

進一步複雜化解密過程的是在 RunVisibleHandler() 方法中實現的「Payload 解密狀態機」。 1 這個狀態機被描述為極其複雜，涉及數百個狀態和轉換，這種技術被稱為控制流平坦化(Control flow flattening)。 1 控制流平坦化是一種強大的混淆方法，以非線性和混亂的方式重組程式碼，使分析師難以靜態追蹤執行路徑並重建原始程式邏輯。 1 這些眾多狀態之間的轉換是有意非順序的。 1 這種對自然執行流程的刻意干擾進一步混淆了安全研究人員和自動化工具使用的傳統控制流分析技術。此外，狀態機結合了基於環境檢查的條件跳躍。 1 這種環境感知行為使惡意軟體能夠偵測是否在沙箱或虛擬機等分析環境中執行，並相應地改變其執行路徑或解密過程。 1 狀態機中包含的Dead code和 Redundant 操作(Redundant operations)目的在誤導反組譯器，透過增加噪音(Noise)和混淆關鍵解密邏輯進一步複雜化分析過程。 1 最後，解密金鑰本身並非靜態儲存，而是在狀態機中透過算術運算動態計算。 1 這使得靜態提取金鑰幾乎不可能，因為它們是在執行過程中根據特定執行流程和可能的環境特定因素動態生成的。

5. 反分析與規避技術的全面分析

ResolverRAT 展示了一種精密的設計，特徵在於實現了眾多的反分析與規避技術。 1 其中一項特別值得注意的技術是 ".NET Resource Resolver Hijacking"。 1 此方法涉及惡意軟體在 .NET 框架內為 ResourceResolve 事件註冊一個客制化處理程序。 1 透過這樣做，惡意軟體能夠攔截主機程序對資源（例如元件）的合法請求。 1 惡意軟體的自訂處理程序並不允許載入合法資源，而是返回一個惡意元件，從而在程序的受控記憶體空間內完全實現程式碼注入。 1 這項技術代表了惡意軟體精密程度的一個重大進化，因為它利用了 .NET 框架中較少被監控的地方，在受控記憶體內隱祕運作，從而繞過了傳統安全監控，這些監控通常專注於 Win32 API 呼叫和檔案系統操作。 1

字串混淆是 ResolverRAT 採用的另一項關鍵反分析技術。 1 為了阻礙靜態分析，惡意軟體中的字串並非以明文儲存，而是作為numeric IDs。 1 這些numeric IDs 在需要時於運行時被解碼為原始字串形式。 1 為了優化解碼過程的性能，惡意軟體實現了一個使用 ConcurrentDictionary 的快取機制。 1 這允許經常使用的解碼字串儲存在記憶體中以便快速取得，避免重複解碼操作的需要。 1 使用Concurrent dictionary表明惡意軟體可能是多執行緒的，或需要頻繁存取這些字串。此外，將numeric IDs 對應到實際編碼字串的字串表，作為惡意軟體內的加密嵌入資源儲存，並在使用前驗證其完整性。 1 這種加密防止了對惡意軟體功能的輕易靜態分析，隱藏了可能暴露的字串，而完整性檢查確保字串表未被篡改。

ResolverRAT 還採用了一種稱為 "Resource Resolution Fingerprinting" 的技術。 1 此方法利用惡意軟體的客制化資源解析處理程序(Custom resource resolution handler)來監控運行時請求的特定元件。 1 透過觀察這些資源請求的模式，惡意軟體可以識別分析環境（例如沙箱或虛擬機）的典型特徵，這些環境通常會載入特定元件進行檢查。 1 如果惡意軟體偵測到指示分析環境的模式，它可以改變其行為以規避深入檢查，可能是透過終止執行或進入休眠狀態。 1

6. 命令與控制 (C2) 通訊的深入檢查

ResolverRAT 的命令與控制 (C2) 通訊基礎設施以韌性和隱祕性為設計考量，採用了幾項進階技術。其中一個關鍵地方是使用 "Certificate-Based Authentication"。 1 ResolverRAT 使用預嵌入的 X509Certificate2物件來驗證與 C2 伺服器的通訊。 1 這意味著惡意軟體在其程式碼中攜帶了它期望從 C2 伺服器接收的特定憑證。此驗證的一個關鍵元素是透過使用自訂回呼函數，在 SSL/TLS 握手期間繞過標準憑證驗證。 1 惡意軟體並不依賴作業系統的受信任根憑證頒發機構 (CA) 來驗證伺服器憑證，而是直接將伺服器的憑證與其嵌入的憑證進行比較。這在受感染主機與 C2 伺服器之間創建了一個私有的驗證鏈，使傳統的 SSL 檢查工具無效，因為這些工具依賴於對公開受信任 CA 的憑證進行驗證。 1

為了確保即使主要 C2 伺服器被破壞或封鎖也能持續通訊，ResolverRAT 實現了一個具有精密 IP 輪替系統的 "Resilient C2 Architecture"。 1 在 CustomizeConnection() 方法中，惡意軟體將一組 IP 位址儲存在名為 TestDistributor 的混淆變數中，並將對應的通訊埠號儲存在另一個名為 CheckDistributor 的混淆集合中。 1 這允許惡意軟體在初始連線失敗時嘗試連線到備用 C2 伺服器。這些 IP 位址和通訊埠的混淆是一項刻意的措施，旨在阻礙分析並防止安全工具輕易識別和封鎖 C2 基礎設施。 1

除了憑證固定和 IP 輪替外，ResolverRAT 在 C2 通訊期間還採用了其他規避技術。 1 它在標準網路通訊埠上使用自訂協議進行通訊。 1 這使惡意軟體的網路流量有可能與通常使用這些通訊埠的合法流量混雜在一起，僅根據通訊埠號難以區分惡意通訊。 1 惡意軟體還實現了Timer-based的連線管理，使用隨機間隔的Timer callbacks來安排與 C2 伺服器的連線嘗試。 1 這種不規則的beaconing pattern 使透過網路流量分析偵測惡意軟體通訊變得更加困難，因為這種分析通常尋找週期性或可預測的連線。 1 此外，ResolverRAT 使用 Protocol Buffers (ProtoBuf) 來序列化與 C2 伺服器交換的資料。 1 ProtoBuf 是一種二進位序列化格式，與明文協議相比，這使得網路流量更難分析，因為分析師需要了解惡意軟體使用的特定模式。

從 C2 伺服器接收的命令處理由一個具有多執行緒架構的 "Command Processing Pipeline" 負責。 1 在接收到來自 C2 伺服器的資料後，惡意軟體首先讀取命令的長度，表明使用了前綴長度協議。 1 一旦命令被讀取，惡意軟體會啟動一個新的專用執行緒來處理它。 1 這種多執行緒設計允許惡意軟體同時處理多個命令，可能提高其效率和對攻擊者指令的響應性，同時保持持續的 C2 連線。 1 命令處理管道還包括穩健的錯誤處理機制。 1 這確保惡意軟體能夠優雅地管理命令執行期間可能發生的任何異常或錯誤，增強其穩定性並防止突然終止。 1 為了保持與 C2 伺服器的持續連線，ResolverRAT 在 ViewConnection() 方法中實現了一個 "Connection Persistence" 機制。 1 此方法負責在連線中斷時持續嘗試重新建立 C2 連線，確保惡意軟體保持與攻擊者基礎設施的連結。 1 這種持續連線對於惡意軟體接收進一步指令和外洩任何收集的資料至關重要。

7. 持續性策略的詳細分析

ResolverRAT 採用多種 Redundant 的持續性機制，以確保在系統重新啟動後以及面對潛在移除嘗試時仍能在受損系統上持續運作。 1 惡意軟體在 Windows 登錄檔中的各個位置創建了大量登錄項，有些情況下多達二十個。 1 這些登錄項可能用於在系統啟動或用戶登入時自動啟動惡意軟體或其元件。除了登錄檔操作外，ResolverRAT 還將自身安裝在檔案系統中的多個常見位置，包括 Appdata、Program Files 和 Startup 資料夾。 1 在其可執行檔案或相關檔案的副本放置在這些位置有助於實現持續性。

ResolverRAT 持續性策略的一個顯著地方是其嘗試並行使用不同的持續性方法。 1 這意味著惡意軟體同時嘗試多種技術以在系統上建立立足點。此外，它實現了一個備援層次結構，追蹤哪些持續性方法已成功。 1 如果某些方法失敗，惡意軟體會繼續嘗試其他方法，確保即使某些途徑被封鎖或移除，它仍能保持持續性。這種多管齊下的方法顯著增強了惡意軟體的韌性，使完全移除更具挑戰性，因為需要識別和消除多個入口點。 1 為了進一步規避偵測，ResolverRAT 使用 XOR 運算來混淆用於持續性的登錄鍵和檔案路徑名稱。 1 這種混淆旨在使這些持續性機制對尋找已知惡意軟體痕跡的安全工具和分析師來說不那麼顯而易見。

8. 資料外洩技術的檢查

在從受損系統外洩資料時，ResolverRAT 實現了一個精密的機制來處理大量資訊，如其 "Chunked Data Transmission" 程式碼分析所示。 1 具體來說，如果要傳輸的資料超過 1MB，惡意軟體會將其分解為每個 16KB 的較小且更容易管理的區塊。 1 這種分塊策略可能是為了優化大量資料的傳輸，可能避免網路擁塞，並使外洩過程與傳送單一大資料流相比更不顯眼。 1 此外，將資料分解為較小的部分允許更穩健的傳輸，因為如果發生錯誤，可以重新傳輸單個區塊，而無需重新傳送整個資料集。

為了確保可靠的資料傳輸，ResolverRAT 在傳送每個區塊之前，透過檢查通訊端的寫入準備狀態來實現流量控制。 1 此機制防止惡意軟體以快於接收速度的速率傳送資料，從而壓倒 C2 伺服器或網路連線，實現更穩定且高效的傳輸。 1 惡意軟體還在分塊資料傳輸過程中納入了錯誤處理功能。 1 此功能允許惡意軟體偵測並可能從傳輸錯誤中恢復，進一步增強資料外洩的可靠性，確保被竊資訊的完整且成功傳輸。 1

9. 受害者追蹤與命令處理能力的分析

ResolverRAT 的命令與控制 (C2) 基礎設施包含一個精密的 "Victim Identification" 機制，從其 C2 設定中可見，該設定設計用於有效管理受損主機。 1 C2 設定包含特定欄位，允許 Threat actor 追蹤不同活動中的個別感染情況。 1 這使攻擊者能夠清楚掌握所有受損系統及其狀態。此外，每個受害者都與一個獨特的 Token 相關聯。 1 這些 Token 可能用於識別和授權與特定受感染機器的通訊，允許對每個系統進行精確的控制和監控。按活動組織感染的能力是 C2 設定的另一個關鍵功能。 1 這允許 Threat actor 根據特定的釣魚攻擊或目標對受損系統進行分組，促進針對特定受害者群的定向操作。這種詳細的受害者追蹤機制顯示了攻擊者的高度組織和控制能力，使其能夠有效管理大量潛在的受損系統並執行協調攻擊。 1

惡意軟體有效處理和執行從 C2 伺服器接收的命令的能力，進一步由其 "Command Processing Pipeline" 強調，該管道利用多執行緒架構和穩健的協議，如第 6 節所述。這種基礎設施確保 Threat actor 能夠以可靠且可擴展的方式向受損系統發出指令並從中接收資料。

10. 與其他惡意軟體家族的關係檢查，特別是 Rhadamanthys

ResolverRAT 分析的一個顯著地方是觀察到該惡意軟體變種與 Rhadamanthys 惡意軟體家族之間的顯著相似性。 1 最引人注目的相似之處之一是兩者共同使用DLL side-loading作為初始 Payload 傳遞的主要方法。 1 這種技術，即由合法可執行檔案載入惡意 DLL，是這兩個惡意軟體家族的標誌。此外，用於分發 ResolverRAT 和 Rhadamanthys 的釣魚郵件誘餌主題也存在重疊。 1 這些誘餌通常涉及類似的策略，例如提及法律問題或版權侵犯，以誘使受害者與惡意附件或連結互動。

Morphisec 分析還表明兩個惡意軟體家族之間可能存在二進位程式碼重用的可能性。 1 這可能表明 ResolverRAT 是 Rhadamanthys 的直接進化，或者 ResolverRAT 的開發者引入了 Rhadamanthys 中先前使用的程式碼或技術。此外，還有跡象顯示可能共享的 Threat actor 基礎設施或操作劇本。 6 這表明可能由同一人或團體負責開發和部署這兩個惡意軟體變種，或者他們正在共享資源和策略。

Rhadamanthys 本身是一種進階資訊竊取程式，首次出現於 2022 年，並經歷了多次快速開發和發布。 11 它以針對廣泛的敏感資訊而聞名，包括系統資訊、憑證、加密貨幣錢包和瀏覽器資料。 11 Rhadamanthys 還採用各種反分析技術來規避偵測並複雜化分析。 21 ResolverRAT 與 Rhadamanthys 的顯著相似性強烈表明兩者可能存在進化關係，其中 ResolverRAT 可能代表更新的、更進階的變種，或表明涉及相同的 Threat actor 或聯盟網路。這一聯繫值得進一步調查和追蹤這兩個惡意軟體家族，以更好地了解威脅環境並開發有效的對策。

表 1：ResolverRAT 反分析與規避技術

11. 影響與潛在防禦策略的討論

ResolverRAT 的出現對組織，尤其是醫療保健和製藥行業的組織，帶來了重大影響，這些行業已被明確鎖定為目標。 1 這些行業因其處理的大量敏感患者資料和擁有的珍貴智慧財產而成為主要目標。ResolverRAT 的成功入侵可能導致嚴重的資料外洩，造成受保護健康資訊的洩露、關鍵製藥研究資料的竊取，以及基本醫療服務和藥物開發過程的潛在中斷。 1

為了減輕像 ResolverRAT 這樣的進階威脅帶來的風險，組織需要採取多層次且主動的安全姿態。 1 實施穩健的用戶意識培訓計劃至關重要，以教育員工了解釣魚郵件和社交工程策略的危險性，這些是 ResolverRAT 的初始感染途徑。 2 部署和維護具有進階過濾功能的全面電子郵件安全解決方案，可以幫助在惡意郵件到達用戶收件匣之前偵測並封鎖它們。 12 使用基於行為的端點保護平台至關重要，因為這些解決方案可以根據行為識別和封鎖惡意活動，即使惡意軟體未被傳統基於特徵的偵測方法識別。 2 確保所有軟體和作業系統的及時修補對於解決可能被利用於初始存取或網路內橫向移動的已知漏洞至關重要。 34 組織還應實施對異常記憶體活動和端點上未授權持續性機制的持續監控，因為 ResolverRAT 高度依賴記憶體內操作和多種持續性技術。 2 採用網路分割可以限制成功入侵的潛在影響，透過限制攻擊者在網路內橫向移動的能力。 34 利用威脅情報饋送對於了解與 ResolverRAT 及相關威脅相關的最新戰術、技術和程序 (TTPs) 以及危害指標 (IOCs) 至關重要。 1 考慮到 ResolverRAT 的進階記憶體內執行，組織還應探索並實施進階記憶體掃描技術，以偵測和防止此類攻擊。 20

12. 結論

對 ResolverRAT 惡意軟體的分析揭示了一個高度精密且規避性強的威脅，目標鎖定醫療保健和製藥等關鍵行業。其核心特徵，包括進階記憶體內執行、運行時解析 API 和資源、多層次反分析與規避技術、複雜的 Payload 解密狀態機、自訂基於憑證的 C2 通訊以及韌性架構，對傳統基於特徵的安全解決方案構成重大挑戰。ResolverRAT 專注於記憶體內操作、廣泛的混淆和環境感知行為，使其能夠有效規避許多常見的偵測機制。與 Rhadamanthys 惡意軟體家族的觀察相似性表明可能存在進化或共享起源，值得對這兩個威脅持續保持警惕和分析。為了有效防禦像 ResolverRAT 這樣的進階威脅，組織採取主動、多層次的安全方法至關重要。這包括全面的用戶教育、部署穩健的安全技術以及持續監控其環境以偵測和回應可疑活動。像 ResolverRAT 這樣的持續且不斷演變的威脅，突顯了在高度目標行業中對網路安全策略的持續警惕和適應的需要。

參考文獻

1. New Malware Variant Identified: ResolverRAT Enters the Maze - Morphisec
2. New Malware ResolverRAT Targets Healthcare and Pharma Sectors
3. The Biggest Healthcare Cybersecurity Threats in 2025 - HealthTech Magazine
4. 10 Crucial Cybersecurity Stats Impacting Healthcare & Pharma
5. Cybersecurity risks in healthcare are an ongoing crisis | IBM
6. New 'ResolverRAT' Targeting Healthcare, Pharmaceutical Organizations - SecurityWeek
7. The Scope of Pharmaceutical Cybersecurity in 2024 - CybelAngel
8. Cyber Threats To The Pharmaceutical Industry - RiskXchange
9. ransomware — Latest News, Reports & Analysis | The Hacker News
10. ResolverRAT malware attacks pharma and healthcare organizations via phishing and DLL side-loading - Industrial Cyber
11. Uncovering a Large-Scale Campaign Using the Latest Version of The Rhadamanthys Stealer - Check Point Blog
12. Social Engineering Attacks: Examples, Tactics, Prevention - Abnormal Security
13. Social Engineering Attacks and How to Stop Them - Strategic Communications
14. Hijack Execution Flow: DLL Search Order Hijacking, Sub-technique ...
15. DLL Sideloading: What It Is and How to Detect It - VMRay
16. THREAT ANALYSIS REPORT: DLL Side-Loading Widely (Ab)Used - Cybereason
17. DLL Side-loading & Hijacking | DLL Abuse Techniques Overview | Google Cloud Blog
18. What is DLL Sideloading – Bitdefender TechZone
19. Intruders in the Library: Exploring DLL Hijacking - Palo Alto Networks Unit 42
20. DLL Side-Loading: How to Combat Threat Actor Evasion Techniques - CrowdStrike
21. Rhadamanthys Stealer Adds - Recorded Future
22. Rhadamanthys Stealer Analysis for Detection Opportunities - Binary Defense
23. Rhadamanthys malware analysis: How infostealers use VMs to avoid analysis - Outpost24
24. Rhadamanthys Stealer Spoofs Emails to Attack Switzerland and the United Kingdom
25. Rhadamanthys Stealer Adds Innovative AI Feature in Version 0.7.0 - Recorded Future
26. COMBATING CONTROL FLOW FLATTENING IN .NET MALWARE - Georgy Kucherin - Virus Bulletin
27. Jscrambler 101 — Control Flow Flattening: Tutorial
28. Unveiling LummaC2 stealer's novel Anti-Sandbox technique: Leveraging trigonometry for human behavior detection - Outpost24
29. Don't flatteN yourself: deobfuscating malware with Control-Flow Flattening - Virus Bulletin
30. LummaC2: Obfuscation Through Indirect Control Flow | Google Cloud Blog
31. Automated Detection of Control-flow Flattening - Tim Blazytko
32. Control Flow Flattening CFF - Cyber Security Architect | Red/Blue Teaming | Exploit/Malware Analysis
33. Rhadamanthys (Malware Family) - Malpedia
34. Advanced Persistent Threat (APT): Examples and Prevention - Legit Security
35. Advanced Persistent Threats: Warning Signs and 6 Prevention Tips - Perception Point
36. How to Prevent Advanced Persistent Threats (APTs)? - SentinelOne
37. Protecting Against Advanced Persistent Threats (APTs) in Enterprise Networks - Verinext
38. How To Defend Against Advanced Persistent Threats (APTs): A Comprehensive Approach
39. Advanced Persistent Threat Security: 5 Modern Strategies - IEEE Computer Society
40. Top 7 Most Common Ransomware Attack Vectors