Οι ερευνητές ασφαλείας προειδοποιούν ό
τι
οι χάκερ στοχεύουν πολλαπλούς οργανισμούς υγειονομικής περίθαλψης στις ΗΠΑ κάνοντας κατάχρηση του εργαλείου απομακρυσμένης πρόσβασης ScreenConnect.
Οι φορείς απειλών αξιοποιούν τοπικές περιπτώσεις ScreenConnect που χρησιμοποιούνται από την Transaction
Data
Systems (TDS), έναν πάροχο λύσεων εφοδιαστικής αλυσίδας φαρμακείων και συστημάτων διαχείρισης που υπάρχει και στις 50 πολιτείες.
Ερευνητές στη διαχειριζόμενη πλατφόρμα ασφαλείας Huntress εντόπισαν τις επιθέσεις και ανέφεραν ότι τις είδαν σε τελικά σημεία από δύο διαφορετικούς οργανισμούς υγειονομικής περίθαλψης και δραστηριότητα που υποδεικνύει αναγνώριση δικτύου για την προετοιμασία της κλιμάκωσης της επίθεσης.
“Ο παράγοντας απειλής προχώρησε σε πολλά βήματα, συμπεριλαμβανομένης της εγκατάστασης πρόσθετων εργαλείων απομακρυσμένης πρόσβασης, όπως οι περιπτώσεις ScreenConnect ή AnyDesk, για να διασφαλίσει μόνιμη πρόσβαση στα περιβάλλοντα” –
Κυνηγός
Οι παρατηρούμενες εισβολές παρατηρήθηκαν μεταξύ 28 Οκτωβρίου και 8 Νοεμβρίου
2023
και πιθανότατα εξακολουθούν να συμβαίνουν.
Λεπτομέρειες επίθεσης
Ο Huntress αναφέρει ότι οι επιθέσεις διαθέτουν παρόμοιες τακτικές, τεχνικές και διαδικασίες (TTP). Αυτά περιλαμβάνουν τη λήψη ενός ωφέλιμου φορτίου με το όνομα
text.xml
υποδεικνύοντας ότι ο ίδιος ηθοποιός βρίσκεται πίσω από όλα τα περιστατικά που παρατηρήθηκαν.
Το .XML περιέχει κώδικα C# που φορτώνει τον μετρητή ωφέλιμου φορτίου επίθεσης Metasploit στη μνήμη του συστήματος, χρησιμοποιώντας μη PowerShell για να αποφύγει τον εντοπισμό.
Σύμφωνα με τον Huntress, παρατηρήθηκαν επιπλέον διεργασίες να ξεκινούν χρησιμοποιώντας την υπηρεσία Printer Spooler.
Τα παραβιασμένα τελικά σημεία λειτουργούν σε ένα σύστημα Windows Server 2019, το οποίο ανήκει σε δύο ξεχωριστούς οργανισμούς – έναν στον φαρμακευτικό τομέα και τον άλλο στον τομέα της υγειονομικής περίθαλψης, με τον κοινό σύνδεσμο μεταξύ τους να είναι μια παρουσία του ScreenConnect.
Το εργαλείο απομακρυσμένης πρόσβασης χρησιμοποιήθηκε για την εγκατάσταση πρόσθετων ωφέλιμων φορτίων, την εκτέλεση εντολών, τη μεταφορά αρχείων και την εγκατάσταση του AnyDesk. Οι χάκερ προσπάθησαν επίσης να δημιουργήσουν νέο λογαριασμό χρήστη για μόνιμη πρόσβαση.
Οι ερευνητές διαπίστωσαν ότι η παρουσία του ScreenConnect ήταν συνδεδεμένη με το «rs.tdsclinical[.]com’ τομέα που σχετίζεται με το TDS.
Προς το παρόν,
δεν είναι
σαφές εάν το TDS υπέστη παραβίαση, εάν τα διαπιστευτήρια ενός από τους λογαριασμούς τους παραβιάστηκαν ή εάν οι εισβολείς εκμεταλλεύονται διαφορετικό μηχανισμό.
Η Huntress έκανε πολλαπλές προσπάθειες να ειδοποιήσει το TDS, που τώρα είναι γνωστό ως ‘Outcomes’, μετά
μια συγχώνευση
το περασμένο καλοκαίρι, αλλά η εταιρεία δεν απάντησε.
VIA:
bleepingcomputer.com
