Güvenlik araştırmacıları, bilgisayar korsanlarının Screenconnect uzaktan erişim aracını kötüye kullanarak ABD'de birden fazla sağlık kuruluşunu hedeflediklerini uyarıyor.
Tehdit aktörleri, 50 eyalette bulunan bir eczane tedarik zinciri ve yönetim sistemleri çözüm sağlayıcısı olan İşlem Veri Sistemleri (TDS) tarafından kullanılan yerel screAnconct örneklerinden yararlanıyor.
Yönetilen Güvenlik Platformu Huntress'teki araştırmacılar, saldırıları tespit ettiler ve iki farklı sağlık kuruluşunun uç noktalarında gördüğünü ve saldırının arttırılmasının hazırlanmasında ağ keşiflerini gösteren faaliyetleri gördüğünü bildirdi.
“Tehdit oyuncusu, ortamlara kalıcı erişim sağlamak için screenconnect veya anydesk örnekleri gibi ek uzaktan erişim araçları kurmak da dahil olmak üzere birkaç adım atmaya başladı” - avcı
Gözlenen müdahaleler 28 Ekim ve 8 Kasım 2023 arasında gözlendi ve muhtemelen hala oluyor.
Huntress, saldırıların benzer taktikler, teknikler ve prosedürler (TTPS) içerdiğini bildiriyor. Bunlar, aynı aktörün gözlemlenen tüm olayların arkasında olduğunu gösteren text.xml adlı bir yükün indirilmesini içerir.
.Xml, algılamadan kaçmak için PowerShell kullanılarak Metasploit Saldırı Yük MetrePreter'i sistem belleğine yükleyen C# kodu içerir.
Huntress'e göre, yazıcı makarası hizmeti kullanılarak ek işlemlerin başlatıldığı gözlendi.
Tahmin edilen uç noktalar, biri ilaç sektöründe, diğeri sağlık hizmetlerinde olan iki farklı kuruluşa ait bir Windows Server 2019 sisteminde çalışır, aralarındaki ortak bağlantı bir screenconnect örneğidir.
Uzaktan erişim aracı, ek yükler yüklemek, komutları yürütmek, dosyaları aktarmak ve AnyDesk'i yüklemek için kullanıldı. Bilgisayar korsanları ayrıca kalıcı erişim için yeni kullanıcı hesabı oluşturmaya çalıştı.
Araştırmacılar, ScreAnconnect örneğinin TDS ile ilişkili 'Rs.tdsclinical [.] Com' alanına bağlı olduğunu belirlediler.
Şu anda, TDS'nin bir ihlal geçirip maruz bırakmadığı, hesaplarından birine kimlik bilgilerinin tehlikeye girip girmediği veya saldırganların farklı bir mekanizmadan yararlanıp yararlanmadığı belirsizdir.
Huntress, geçen yaz birleşmenin ardından şu anda 'sonuçlar' olarak bilinen TDS'yi bilgilendirmek için birden fazla girişimde bulundu, ancak şirket cevap vermedi.
Blackcat Fidye Yazılımı Sağlık Hizmeti Giant Henry Schein'ın İhlali İddia
Lazarus Hackers, Signbt kötü amaçlı yazılımını dağıtmak için Dev'i tekrar tekrar ihlal etti
Ücretsiz İndir Yöneticisi, Linux kötü amaçlı yazılımları kontrol etmek için komut dosyasını serbest bırakır
Ücretsiz İndir Manager sitesi Linux kullanıcılarını yıllarca kötü amaçlı yazılımlara yönlendirdi
Mortgage devi Bay Cooper, müşteri verilerinin ihlalde maruz kaldığını söylüyor
Kaynak: Bleeping Computer