Изображение: recraft
Группа исследователей из Vedere, входящей в состав компании Forescout, в новом отчете сообщила о деятельности хакеров Silver Fox, которым, предположительно, оказывает поддержку Китай. Специалисты установили, что эта группировка использует специализированное медицинское программное обеспечение для скрытного внедрения вредоносных программ, в том числе бэкдора, кейлоггера и инструмента для нелегального майнинга криптовалют.
Атаке подверглось приложение Philips Digital Imaging and Communications in Medicine (DICOM), предназначенное для работы с медицинскими изображениями. Эта платформа позволяет врачам анализировать данные рентгеновских снимков, КТ, МРТ и УЗИ, но теперь стала инструментом для кибератак.
После проникновения в систему вредоносный код активирует бэкдор ValleyRAT, обеспечивая злоумышленникам полный доступ к заражённому устройству. Это создаёт угрозу для информационной безопасности медицинских учреждений, так как даёт возможность получить контроль над внутренними сетями клиник.
Эксперты Forescout зафиксировали активность Silver Fox, но точный механизм начального заражения пока остаётся неизвестным. Ранее данная группировка применяла SEO-отравление и фишинг для распространения вредоносного ПО, что, вероятно, используется и в текущей кампании.
Специалисты обнаружили 29 образцов вредоносного кода, появившихся в период с июля 2024 по январь 2025 года. Все они маскировались под инструменты для просмотра DICOM от Philips, но на самом деле содержали бэкдор ValleyRAT.
На первом этапе атаки вредоносная программа, скрывающаяся под именем MediaViewerLauncher.exe, выполняет разведывательные функции и проверяет доступность соединения с командным сервером. Затем активируются механизмы обхода защиты, в том числе использование команд PowerShell, позволяющих исключить определённые файлы из проверки Защитником Windows.
После этого вирус загружает зашифрованные данные из хранилища Alibaba Cloud, которые расшифровываются и превращаются в исполняемый файл. Этот файл регистрируется в системе как запланированная задача Windows, что позволяет вредоносному ПО сохранять своё присутствие на устройстве.
Факт использования облачных сервисов для загрузки данных указывает на то, что злоумышленники применяют распределённую инфраструктуру для сокрытия своих операций. Хотя на момент анализа командный сервер был отключён, хранилища в облаке оставались активными, что свидетельствует о продуманной стратегии атаки.
На следующем этапе вредоносная программа загружает DLL-библиотеку, содержащую скрытые инструкции для обхода механизмов отладки. Затем вирус анализирует системные процессы, выявляет работающие антивирусные решения и завершает их с помощью TrueSightKiller — утилиты с открытым исходным кодом, предназначенной для отключения защитных программ.
Подробный отчёт об исследовании опубликован в открытом доступе по ссылке.
Оригинал публикации на сайте CISOCLUB: "Vedere: при поддержке Китая группировка Silver Fox внедряет бэкдоры в сети здравоохранения США".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.