Çin Silver Fox Apt, Valleray kötü amaçlı yazılımları yaymak için triorize tıbbi görüntüleme yazılımını kullanıyor ve sağlık güvenliği ve hasta verileri için ciddi bir tehdit oluşturuyor.
Forescout’un Vedere Labs’ın hackread.com ile paylaşılan son soruşturması, kötü şöhretli Çin ileri süren tehdit (APT) Grubu Silver Fox’un, grubun DICOM’u kullandığı sofistike yeni bir kampanya başlattığını (dijital görüntüleme ve tıpta iletişim) başlattığını ortaya koyuyor. , hasta tıbbi görüntüleme için yaygın olarak kullanılır, kötü amaçlı yazılım dağıtmak için.
Silver Fox Grubu en az 2024’ten beri aktif ve Hackread.com o zamandan beri faaliyetlerini izledi. Başlangıçta, Çince konuşan kurbanlara odaklandı, kötü amaçlı yazılımları SEO zehirlenmesi ve sosyal medya gibi çeşitli kanallardan dağıttı ve genellikle AI uygulamaları veya VPN yazılımı olarak gizlendi.
Zamanla, hedefleri devlet kurumlarını, siber güvenlik şirketlerini, e-ticaret, finans ve hatta oyun uygulamalarını içerecek şekilde genişledi. Son araştırmalar, grubun sağlık sektörüne genişlemesini ve kötü amaçlı yazılım örnekleri ABD ve Kanada’dan kaynaklandığını göstermektedir.
Mevcut kampanya, birinci aşama yük görevi gören, standart Windows komutlarını kullanarak komut ve kontrol (C2) sunucusuna bağlantıyı kontrol eden ve Windows Defender’ın zayıflatmak için PowerShell komut dosyalarını kullanan Philips Dicom Viewer’ın (PDF) yürütülebilir dosyasının truva atışlarını kullanıyor. savunmalar. Daha sonra, antivirüs yazılımı, yardımcı dosyalar ve kabuk kodu devre dışı bırakmak için araçlar içeren bir Alibaba bulut depolama kovasından görüntü dosyaları olarak gizlenmiş şifreli yükleri indirir.
İndirilen bileşenler şifre çözülür ve planlanan görevler yoluyla sistem üzerinde devam etmek üzere tasarlanmış ikinci aşamalı bir kötü niyetli yürütülebilir oluşturulur. Bu ikinci aşama, güvenlik yazılımını devre dışı bırakır ve şifre çözme işleminden sonra temel yükü ortaya çıkaran başka bir şifreli dosya indirir: Vallerat arka kapı.
“Yeni kötü niyetli yazılımlar için bir tehdit avı sırasında, Philips Dicom izleyicileri olarak maskelenen 29 kötü amaçlı yazılım örneği kümesini belirledik. Bu örnekler, kurban bilgisayarlarının kontrolünü ele geçirmek için kullanılan bir arka kapı uzaktan erişim aracı (sıçan) olan Vallerat’ı kullandı ”dedi.
Vallereyrat, saldırganlara tehlikeye atılan makine üzerinde kapsamlı bir kontrol sağlar ve potansiyel olarak hassas hastane ağlarına erişim sağlar. Arka kapıya ek olarak, kötü amaçlı yazılım ayrıca kullanıcı girişini yakalamak için bir keylogger ve saldırganlar için dijital para birimi oluşturmak için bir Cryptominer yükler. Tüm bu bileşenler, yeniden başlatıldıktan sonra bile devam eden çalışmayı sağlayarak sistem üzerinde devam edecek şekilde tasarlanmıştır.
Kötü amaçlı yazılım, API karma ve dolaylı geri alma, uzun uyku aralıkları, sistem parmak izi ve maskeli DLL yükleme gibi gizleme yöntemleri dahil olmak üzere tespit ve analizden kaçınmak için çeşitli teknikler kullanır. Rastgele bayt eklenmesi tespiti karmaşıklaştırır. Araştırmacılar, C2 sunucusunun çevrimdışı olmasına rağmen, analiz sırasında Alibaba bulut depolama kovalarının erişilebilir olduğunu buldular.
Araştırmacılar, enfekte cihazlar hastane ağlarına bir giriş noktası sağlayabileceğinden, DICOM izleyicilerinin sağlık hizmeti kuruluşları (HDO’lar) için ciddi bir risk oluşturduğu konusunda uyarıyorlar. Bu riskleri azaltmak için HDOS, güvenilmeyen kaynaklardan yazılım indirmekten kaçınmalı, hasta cihazlarından dosya yüklemesini kısıtlamalı, sağlam ağ segmentasyonunu uygulamalı, güncel uç nokta korumasını sürdürmeli, ağ trafiğini izlemeli ve aktif olarak kötü niyetli aktivite aramak.
FLATICON/KLIWIR ART aracılığıyla kötü amaçlı yazılım uyarı simgesi