长亭百川云 - 文章详情

注意:发现针对医疗实验室的APT攻击

大兵说安全

38

2024-07-13

国庆期间,在为某医疗设备的客户测试卡巴斯基的APT监测设备KATA时,发现一条可疑的告警信息,相关信息通过卡巴斯基的威胁情报判定,图片中标红的部分,即TA-related host(威胁情报相关联主机)。

通过对该告警事件的分析,疑似针对亚洲医疗实验室的间谍组织的记录。很大可能是通过钓鱼邮件的方式进行传播,目前并没有数据泄露发生,也没有证据确定其来源或与已知威胁行为者的关系,但据安全公司分析,该组织可能对涉及covid-19相关治疗或疫苗的行业垂直领域感兴趣,目前在收集情报阶段。

该威胁活动的突出之处在于没有数据泄露和自定义恶意软件,威胁行动者使用开源工具进行情报收集。通过使用已经可用的工具,使攻击更加隐蔽。研究人员说:“该组织使用的工具表明,他们希望能够持续和秘密地访问受害者的机器,并努力升级特权,并在受害者网络中横向传播。”

外国媒体的针对该组织的报告,赛门铁克、安博士曾有过报道。

https://thehackernews.com/2023/02/hydrochasma-new-threat-actor-targets.html

技术人员已经收集了该威胁的IOC指标,有需要的关注“大兵说安全”,在后台留言索取,部署有EDR的客户,将上述IOC文件导入即可进行全网防护。参考《从一次攻击过程看EDR的作用》。

*感谢卡巴斯基山东服务中心高进提供素材

历史文章:

教你一招,轻松变成反病毒高手

从一次攻击过程看EDR的作用

做好网络安全必须要做的一步工作...

CIS关于网络安全的18条安全控制措施

心存敬畏 安全常在

应急响应预案该怎么制定?

也来聊聊态势感知(上)

也来聊聊态势感知(中)

也来聊聊态势感知(下)

欢迎关注:大兵说安全

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2