ResolverRAT 맬웨어, 감지를 피해 제약 및 의료 기업을 공격

ResolverRAT이라는 은밀한 파일 없는 악성 소프트웨어가 피싱 기반의 공격을 통해 의료 및 제약 산업을 표적으로 삼고 있습니다, Morphisec Labs가 경고했습니다.

Morphisec Labs에 의해 발견된 새롭고 위험한 멀웨어 변종인 ‘ResolverRAT’이 이미 전 세계의 의료와 제약 조직을 대상으로 한 사이버 공격에 사용되고 있다는 사실이 밝혀졌습니다.

Morphisec는 ResolverRAT이 탐지 및 분석을 피하도록 설계된 원격 접근 트로이 목마(RAT)라고 보고했습니다. 기존의 악성 소프트웨어와 달리 ResolverRAT은 전적으로 메모리에서 실행되며 디스크에 파일을 남기지 않아, 전통적인 안티바이러스 도구를 사용하여 탐지하기가 훨씬 어렵습니다.

이 위협은 Morphisec의 고객들, 특히 의료 산업을 대상으로 한 공격에서 처음으로 탐지되었으며, 최근의 공격은 2025년 3월 10일에 발생했습니다.

연구자들은 ResolverRAT가 매우 현실적인 다양한 언어로 작성된 피싱 이메일을 사용하여 기업 직원들이 감염된 파일을 다운로드하도록 속이는 방법에 대해 설명하였습니다. 이 이메일들은 저작권 침해와 같은 법적인 결과를 위협하여 수신자들이 클릭하도록 강제합니다.

“이런 캠페인들은 지속적으로 현지화된 피싱의 추세를 반영하고 있습니다.”라고 Morphisec는 설명하며, 국가별로 언어와 주제를 맞춤화함으로써 사기에 넘어갈 확률이 증가한다고 설명했습니다.

시스템 내부로 들어가면 ResolverRAT는 DLL 사이드 로딩이라는 방법을 사용하여 숨겨진 악성 프로그램을 로드합니다. 이는 종종 합법적인 앱 내에 위장되어 있습니다. 이렇게 하면 악성 코드가 경보를 일으키지 않고 몰래 들어갈 수 있습니다.

이 악성 코드는 강력한 암호화 및 난독화 기술을 사용하여 진정한 목적을 숨깁니다. 컴퓨터의 메모리에서만 작동하며, 일반적인 시스템 파일을 사용하지 않고, 심지어는 안전한 네트워크 모니터링을 우회하기 위해 가짜 인증서를 만들기도 합니다.

그것의 디자인은 몇몇이 차단되더라도 숨겨져 있고 활동적으로 유지하는 다양한 방법을 포함하고 있습니다. 그것은 시스템의 다른 부분에 설치되며, 회전하는 서버 목록과 암호화된 통신을 사용하여 감지를 피합니다.

Morphisec는 ResolverRAT이 전세계적인 작전의 일부로 보이며, 알려진 다른 사이버 공격과 유사성이 있다고 경고합니다. 공유된 도구, 기법, 심지어 동일한 파일 이름들이 위협 그룹들 사이에서의 조정된 노력이나 공유된 자원을 시사합니다.

“이 새로운 악성 소프트웨어 가족은 의료 및 제약 회사에게 특히 위험합니다. 왜냐하면 그들이 보유하고 있는 데이터가 매우 민감하기 때문입니다.”라고 Morphisec는 말했습니다.

ResolverRAT과 같은 위협에 대응하기 위해 Morphisec는 자동 이동 대상 방어(Automated Moving Target Defense, AMTD)를 홍보합니다. 이것은 공격 표면을 지속적으로 변경함으로써, 악성 소프트웨어가 목표를 찾는 것을 어렵게 만들어 가장 초기 단계에서 공격을 방지합니다.

ResolverRAT은 사이버 범죄가 어떻게 발전하고 있고, 특히 건강관리와 같은 중요한 분야가 한 걸음 앞선 위치를 유지해야 하는 이유를 명확하게 보여주는 사례입니다.