ResolverRAT：制药公司领导者需要了解的关于这一高级威胁的知识

 

 

一种新的恶意软件威胁正悄悄地将目标锁定在医疗保健和制药公司上——其设计初衷是完全绕过传统的安全措施。

 

ResolverRAT 于 2025 年 3 月首次被发现，它采用先进的内存执行技术、区域化的钓鱼邮件以及几乎隐形的加密方法。对于在高度监管的环境中运营的制药企业来说，这种威胁不仅仅是技术层面的，它还会直接影响序列化、合规性和业务连续性。

 

 

为什么它与众不同且危险

 

ResolverRAT 并非机会主义，而是经过精心策划的。其传播方式和感染技术经过精心设计，旨在绕过现代防病毒和监控系统。具体方法如下：

• 网络钓鱼本地化：以多种语言（捷克语、印地语、意大利语、土耳其语等）制作的电子邮件针对全球团队——尤其是那些处理敏感数据的团队。
• 没有传统的占用空间：恶意软件仅在内存中运行，避免基于文件的检测。
• 安全进程劫持：它使用 DLL 侧加载和受信任的应用程序进程来执行恶意操作。
• .NET 利用：ResolverRAT 劫持资源加载过程，而无需触及已知的 API 或 PE 标头。
• 加密和混淆：有效载荷在运行时受到 AES-256 加密和动态解码的保护。

 

这些因素使得 ResolverRAT 不仅难以检测，而且即使事后也难以追踪。

 

 

制药业面临的真正风险

 

对于大型制药企业来说，ResolverRAT 不仅仅代表着网络安全问题。它的存在可能会破坏关键任务的运营和监管要求：

• 序列化环境可能会受到损害，从而影响数据准确性和产品发布准备情况。
• 合规报告可能会被延迟或操纵，从而产生审计风险。
• MAH、CMO 和合作伙伴之间的商业交易诚信可能会受到损害。
• 停机和未检测到的恶意软件的恢复成本可能比技术补救更高——它会影响信任和时间表。

 

什么被利用了？人类的访问

 

预定义报告并不总是能满足制药商的独特需求。SATT PLATFORM® 提供动态、可定制的报告，使团队能够提取针对特定运营、管理或合规性需求的实时生产见解。

• 监控操作员、班次或生产线级别的效率。
• 生成审计和监管提交的实时合规报告。
• 通过详细了解生产绩效来增强决策能力。

 

真正的生产灵活性：竞争优势

 

尽管技术复杂，ResolverRAT 的入口点仍然很常见：网络钓鱼。看似紧急、合法或官方的定向电子邮件会诱使员工在不知情的情况下执行受感染的文件。无需技术漏洞——只需单击一下即可。

 

这就是为什么在高度数字化、合规性要求高的环境中，端点保护和员工意识同样重要。

 

 

如何降低风险

 

1. 开展针对特定地区的网络钓鱼培训——使培训与员工可能遇到的语言和策略相关。
2. 审查端点保护策略 – 超越传统防病毒软件。使用可检测基于内存和行为异常的工具。
3. 评估您的序列化基础设施——基于 Azure 构建的 SATT PLATFORM 等平台提供分层安全性、集中监控和实时数据完整性。
4. 确保安全的数据交换——实时 B2B 连接（例如 MAH 和 CMO 之间）必须加密、监控并且具有防篡改能力。

5. 优先考虑合规系统的强化——确保您的合规解决方案在设计上是安全的，而不是在以后进行安全改造。

 

 

 

 

网络威胁正在不断调整——不仅适应技术，也适应运营行为。ResolverRAT 表明，针对制药行业的攻击正在增多，保护序列化和合规生态系统必须成为战略重点。

 

在 SoftGroup，我们帮助大型制药公司保持合规性、安全性和审计准备，并提供旨在应对当今风险的企业级解决方案