Согласно новому отчету, группировка APT, базирующаяся в Китае и известная как Silver Fox, совершает кибератаки на медицинские организации с использованием средств просмотра Philips DICOM. Установлено, что злоумышленники развертывают целый ряд вредоносных программ, включая инструмент удаленного доступа (RAT) под названием ValleyRAT, кейлоггер и криптомайнер.
Тенденции кибератак в здравоохранении
Кампания группы Silver Fox подчеркивает текущие тенденции в использовании медицинских приложений и демонстрирует, что сектор здравоохранения остается критически важной целью для атак злоумышленников. Исследования показали, что:
- Вредоносная программа использует троянские версии MediaViewerLauncher.exe.
- Сообщения об атаках были зафиксированы в VirusTotal из США и Канады с декабря 2024 года по январь 2025 года.
- С 2024 года Silver Fox значительно расширила свою целевую аудиторию.
Изменение тактики атак
Изначально ориентируясь на китайских жертв, группа Silver Fox адаптировала свою стратегию, внедряя вредоносное ПО, замаскированное под легальное программное обеспечение. Наблюдается следующее:
- Использование PowerShell для методов обхода защиты и выполнения процессов.
- Переход к многоуровневым командам PowerShell для повышения скрытности и стойкости.
- Сложный рабочий процесс, включая разведывательные действия и планирование задач.
Работа вредоносной программы
Работа вредоносного ПО начинается с первоначального заражения и включает следующие стадии:
- Разведывательные действия с использованием утилит Windows для проверки подключения к серверу управления (C2).
- Выполнение команд PowerShell для исключения определенных путей из проверки безопасности.
- Загрузка и расшифровка зашифрованных полезных данных.
- Установление соединения с сервером C2 в облаке Alibaba через ValleyRAT.
После активации бэкдора злоумышленники получают постоянный доступ к скомпрометированной системе, что позволяет им манипулировать данными и системными ресурсами.
Методы уклонения и обфускации
Вредоносная программа использует ряд методов уклонения, что создает сложности в ее обнаружении:
- Генерация случайных байтов при работе с файлами.
- Несколько уровней шифрования для скрытия вредоносных действий.
- Внедрение RPC для планирования задач и использование именованных каналов.
Индикаторы компромисса и важность кибербезопасности
Анализ также показывает, что некоторые компоненты вредоносного ПО еще не были помечены как вредоносные. Это подчеркивает изощренность тактики Silver Fox. В условиях, когда сектор здравоохранения по-прежнему остается мишенью для программ-вымогателей и других угроз, необходимость в надежных мерах кибербезопасности и обмене информацией об угрозах становится более значимой.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кибератаки на медицину: группа Silver Fox внедряет ValleyRAT".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.