注意：发现针对医疗实验室的APT攻击

注意：发现针对医疗实验室的APT攻击
2023-10-12 20:23:37 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

国庆期间，在为某医疗设备的客户测试卡巴斯基的APT监测设备KATA时，发现一条可疑的告警信息，相关信息通过卡巴斯基的威胁情报判定，图片中标红的部分，即TA-related host（威胁情报相关联主机）。

通过对该告警事件的分析，疑似针对亚洲医疗实验室的间谍组织的记录。很大可能是通过钓鱼邮件的方式进行传播，目前并没有数据泄露发生，也没有证据确定其来源或与已知威胁行为者的关系，但据安全公司分析，该组织可能对涉及covid-19相关治疗或疫苗的行业垂直领域感兴趣，目前在收集情报阶段。

该威胁活动的突出之处在于没有数据泄露和自定义恶意软件，威胁行动者使用开源工具进行情报收集。通过使用已经可用的工具，使攻击更加隐蔽。研究人员说：“该组织使用的工具表明，他们希望能够持续和秘密地访问受害者的机器，并努力升级特权，并在受害者网络中横向传播。”

外国媒体的针对该组织的报告，赛门铁克、安博士曾有过报道。

https://thehackernews.com/2023/02/hydrochasma-new-threat-actor-targets.html

技术人员已经收集了该威胁的IOC指标，有需要的关注“大兵说安全”，在后台留言索取，部署有EDR的客户，将上述IOC文件导入即可进行全网防护。参考《从一次攻击过程看EDR的作用》。

*感谢卡巴斯基山东服务中心高进提供素材

历史文章：

欢迎关注：大兵说安全

文章来源: https://mp.weixin.qq.com/s?__biz=MzI2MzM0NjcxNw==&mid=2247485390&idx=1&sn=41d1172ec39fcfbf853db37c18463b96&chksm=eabc08bcddcb81aab3fc9afcee9fd3ea8277763e4c2ac29de143dc6ed1290ea1d5024615d179&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh