ResolverRATマルウェアが検出を回避し、製薬会社とヘルスケア業界を直撃

ステルス性の高いファイルレスマルウェアであるResolverRATが、フィッシング攻撃をベースにした攻撃で医療業界や製薬業界を狙っていると、Morphisec Labsが警告しています。

ResolverRATと名付けられた危険な新しいマルウェアのバリアントがMorphisec Labsによって発見され、すでに世界中の医療機関や製薬企業に対する標的型サイバー攻撃で使用されています。

Morphisecは、ResolverRATが検出や分析を回避するように設計されたリモートアクセストロイの木馬（RAT）であると報告しています。従来のマルウェアとは異なり、ResolverRATは完全にメモリ内で動作し、ディスク上にファイルを残さないため、従来のアンチウイルスツールを使って検出するのが非常に困難です。

この脅威は初めて、特にヘルスケア業界のMorphisecのクライアントに対する攻撃で検出されました。最新の波は2025年3月10日に発見されました。

研究者たちは、ResolverRATが非常にリアルなフィッシングメールを多言語で使用し、企業の従業員をだまして感染したファイルをダウンロードさせると説明しています。これらのメールは、受信者がクリックするように強制するために、著作権侵害などの法的な結果を脅かします。

「これらのキャンペーンは、高度にローカライズされたフィッシングの継続的な傾向を反映しています」とMorphisecは述べ、国ごとに言語とテーマをカスタマイズすることで、誰かが詐欺に引っかかる可能性が高まることを説明しています。

システム内部に一度侵入すると、ResolverRATは、DLLサイドローディングと呼ばれる方法を使用して、隠された悪意のあるプログラムをロードし、それが正当なアプリ内に偽装されることが多いです。これにより、マルウェアはアラームを引き起こすことなくこっそりと侵入することができます。

このマルウェアは、強力な暗号化と難読化技術を用いて真の目的を隠します。それはコンピュータのメモリ内だけで動作し、通常のシステムファイルの使用を避け、さらには偽の証明書を作成してセキュアなネットワーク監視を回避します。

そのデザインには、一部がブロックされても隠れて活動し続けるための多数の方法が含まれています。このデザインは、システムのさまざまな部分に自己設置し、回転式のサーバーリストと暗号化通信を使用して検出を避けます。

Morphisecは、ResolverRATが世界的な作戦の一部であると警告しています。これは他の既知のサイバー攻撃との類似性があります。共有ツール、テクニック、さらには同じファイル名でさえも、脅威グループ間での協調作業や共有リソースを示唆しています。

“この新たなマルウェアのファミリーは、彼らが保有するデータの敏感性から、ヘルスケアや製薬会社にとって特に危険です”とMorphisecは述べています。

ResolverRATのような脅威に対抗するために、Morphisecは自動移動目標防御（AMTD）を推奨しています。これは攻撃面を常に変更することで、最初の段階で攻撃を防ぎ、マルウェアが目標を見つけるのを難しくします。

ResolverRATは、洗練されたサイバー犯罪がどのように進化しているかの明確な例ですーそしてなぜ医療などの重要なセクターが常に一歩先を行かなければならないのか、という理由を示しています。