Güvenlik araştırmacıları, bilgisayar korsanlarının ScreenConnect uzaktan erişim aracını kötüye kullanarak ABD’deki birden fazla sağlık kuruluşunu hedef aldığı konusunda uyarıyor.
Tehdit aktörleri, 50 eyaletin tamamında faaliyet gösteren eczane tedarik zinciri ve yönetim sistemleri çözüm sağlayıcısı Transaction Data Systems (TDS) tarafından kullanılan yerel ScreenConnect örneklerinden yararlanıyor.
Yönetilen güvenlik platformu Huntress’teki araştırmacılar, saldırıları tespit etti ve bunları iki farklı sağlık kuruluşunun uç noktalarında gördüklerini ve saldırıyı artırmaya hazırlanırken ağ keşiflerine işaret eden aktiviteyi bildirdi.
“Tehdit aktörü, ortamlara kalıcı erişim sağlamak için ScreenConnect veya AnyDesk örnekleri gibi ek uzaktan erişim araçlarının kurulması da dahil olmak üzere çeşitli adımlar attı” – Huntress
Gözlemlenen izinsiz girişler 28 Ekim ile 8 Kasım 2023 tarihleri arasında gözlemlendi ve büyük ihtimalle hala devam ediyor.
Saldırı ayrıntıları
Huntress, saldırıların benzer taktikler, teknikler ve prosedürler (TTP’ler) içerdiğini bildirdi. Bunlar, adlı bir veri yükünün indirilmesini içerir. metin.xmlBu da gözlemlenen tüm olayların arkasında aynı aktörün olduğunu gösteriyor.
.XML, Metasploit saldırı yükü Meterpreter’ı sistem belleğine yükleyen ve tespitten kaçınmak için PowerShell olmayan bir ürün kullanan C# kodunu içerir.
Huntress’e göre, Yazıcı Biriktiricisi hizmeti kullanılarak ek işlemlerin başlatıldığı gözlemlendi.
Güvenliği ihlal edilen uç noktalar, biri ilaç sektöründe, diğeri sağlık sektöründe olmak üzere iki farklı kuruluşa ait olan bir Windows Server 2019 sisteminde çalışıyor ve aralarındaki ortak bağlantı ScreenConnect örneğidir.
Uzaktan erişim aracı ek veriler yüklemek, komutları yürütmek, dosyaları aktarmak ve AnyDesk’i yüklemek için kullanıldı. Bilgisayar korsanları ayrıca kalıcı erişim için yeni kullanıcı hesabı oluşturmaya çalıştı.
Araştırmacılar ScreenConnect örneğinin ‘rs.tdsclinical’e bağlı olduğunu belirlediler[.]com’ alan adı TDS ile ilişkilidir.
Şu anda TDS’nin bir ihlale maruz kalıp kalmadığı, hesaplarından birinin kimlik bilgilerinin ele geçirilip geçirilmediği veya saldırganların farklı bir mekanizmayı kullanıp kullanmadığı belli değil.
Huntress, geçen yaz gerçekleşen birleşme sonrasında artık ‘Sonuçlar’ olarak bilinen TDS’yi bilgilendirmek için birçok girişimde bulundu ancak şirket yanıt vermedi.