Image by kartik programmer, from Unsplash
มัลแวร์ ResolverRAT หลบหนีการตรวจจับ โจมตีบริษัทเภสัชกรรมและสุขภาพ
ระยะเวลาในการอ่าน: 1 นาที
อัพเดทล่าสุด: Apr 16, 2025
-
![Kiara Fabbri]()
-
![ทีมแปลภาษา]()
แปลโดย ทีมแปลภาษา ทีมแปลภาษาและบริการแปลภาษา
ResolverRAT เป็นมัลแวร์ที่ซ่อนเร้นและไม่มีไฟล์ ที่กำลังมุ่งเป้าหมายต่ออุตสาหกรรมการแพทย์และเภสัชกรรม โดยโจมตีผ่านทางการฟิชชิ่ง นี้เป็นคำเตือนจาก Morphisec Labs.
ไปรีบหรือเปล่า? นี่คือข้อเท็จจริงที่คุณต้องรู้:
- มันแพร่กระจายผ่านอีเมล์ภาคีอําลาภาษาต่างๆ
- มัลแวร์ซ่อนตัวด้วยการโหลด DLL ด้านข้างและแอปปลอมอย่าง hpreader.exe.
- ResolverRAT ทำการเข้ารหัสกิจกรรมและทำงานเฉพาะในหน่วยความจำเท่านั้น หลบหนีการตรวจจับจากแอนตี้ไวรัส
มีการค้นพบตัวแปรมัลแวร์ใหม่ที่อันตรายชื่อ ResolverRAT โดย Morphisec Labs และมันกำลังถูกใช้ในการโจมตีทางไซเบอร์ที่มุ่งมั่นต่อองค์กรด้านสุขภาพและยาทั่วโลก อย่างแล้วแต่แล้ว
Morphisec รายงานว่า ResolverRAT เป็น Remote Access Trojan (RAT) ที่ถูกออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับและการวิเคราะห์ ไม่เหมือนกับมัลแวร์แบบดั้งเดิม ResolverRAT ทำงานอยู่ทั้งหมดในหน่วยความจำและไม่ทิ้งไฟล์บนดิสก์ ซึ่งทำให้มันยากที่จะตรวจจับโดยใช้เครื่องมือป้องกันไวรัสแบบดั้งเดิม
ภัยคุกคามนี้ถูกตรวจจับครั้งแรกในการโจมตีต่อลูกค้าของ Morphisec โดยเฉพาะในอุตสาหกรรมการแพทย์ ด้วยคลื่นล่าสุดที่เกิดขึ้นในวันที่ 10 มีนาคม 2025
นักวิจัยอธิบายว่า ResolverRAT ใช้อีเมลภูมิคุกคามที่เป็นจริงมากและใช้หลายภาษาเพื่อหลอกลวงพนักงานบริษัทให้ดาวน์โหลดไฟล์ที่ติดไวรัส อีเมลเหล่านี้มีการขู่เข็ญผลทางกฎหมาย เช่น การละเมิดลิขสิทธิ์เพื่อบังคับผู้รับให้คลิก
“แคมเปญเหล่านี้สะท้อนแนวโน้มที่ยังคงมีอยู่ของการภูมิคุกคามทางอีเมลที่มีการปรับให้เข้ากับท้องถิ่น” ทาง Morphisec อธิบาย โดยอธิบายว่าการปรับแต่งภาษาและธีมตามประเทศจะเพิ่มโอกาสที่จะมีคนตกเป็นเหยื่อให้กับสแกม
เมื่อเข้าสู่ระบบแล้ว ResolverRAT จะโหลดโปรแกรมที่มีจุดประสงค์ร้ายแรงซ่อนอยู่ โดยใช้วิธีที่เรียกว่า DLL side-loading ซึ่งมักจะปกปิดภายใต้แอปที่ถูกต้อง สิ่งนี้ทำให้มัลแวร์สามารถเล่นลับเข้ามาได้โดยไม่ทำให้เกิดสัญญาณเตือน
มัลแวร์นี้ใช้เทคนิคการเข้ารหัสและการปกปิดที่แข็งแกร่งในการซ่อนจุดประสงค์จริงของมัน มันทำงานอยู่เฉพาะในหน่วยความจำของคอมพิวเตอร์ หลีกเลี่ยงการใช้ไฟล์ระบบปกติ และแม้กระทั่งสร้างใบรับรองปลอมเพื่ออ้อมกว่าการตรวจสอบเครือข่ายที่มีความปลอดภัย
การออกแบบของมันรวมถึงวิธีการหลายๆ วิธีที่จะอยู่เร้นลับและทำงานอย่างต่อเนื่อง แม้ว่าบางส่วนจะถูกบล็อก มันติดตั้งตัวเองในส่วนต่างๆ ของระบบ และใช้รายการเซิร์ฟเวอร์ที่หมุนเวียนและการสื่อสารที่ถูกเข้ารหัสเพื่อหลีกเลี่ยงการตรวจจับ
Morphisec เตือนว่า ResolverRAT ดูเหมือนจะเป็นส่วนหนึ่งของการดำเนินงานระดับโลก มีความคล้ายคลึงกับการโจมตีทางไซเบอร์ที่รู้จักกันอื่นๆ การใช้เครื่องมือที่มีการแบ่งปัน วิธีการ และแม้กระทั่งชื่อไฟล์ที่เหมือนกันแสดงให้เห็นถึงการทำงานร่วมกันหรือการใช้ทรัพยากรที่มีการแบ่งปันระหว่างกลุ่มที่มีความรุนแรง
“ตระกูลมัลแวร์ใหม่นี้เป็นอันตรายเฉพาะทางสำหรับบริษัทด้านการดูแลสุขภาพและยาเนื่องจากข้อมูลที่ละเอียดอ่อนที่พวกเขาจัดเก็บอยู่” บริษัท Morphisec กล่าว
เพื่อต่อสู้กับความข่มขู่อย่าง ResolverRAT, Morphisec ส่งเสริมแนวป้องกัน Automated Moving Target Defense (AMTD) ของตนซึ่งสามารถป้องกันการโจมตีระยะแรกโดยการเปลี่ยนแปลงพื้นที่โจมตีอย่างต่อเนื่อง ทำให้มัลแวร์ยากที่จะหาเป้าหมาย
ResolverRAT เป็นตัวอย่างชัดเจนของการพัฒนาของอาชญากรรมไซเบอร์ที่ซับซ้อนขึ้น – และเหตุผลว่าทำไมภาคสำคัญเช่นสาขาการแพทย์จึงต้องอยู่ข้างหน้าอย่างน้อยหนึ่งขั้นตอน
เรื่องราวก่อนหน้านี้
บทความล่าสุด 
