一個名為TimisoaraHackerTeam(THT)鮮為人知的勒索軟體組織對美國一家癌症中心發動了攻擊,引起了提醒醫療部門對此種「鮮少使用但非常有效」的威脅行為保持警惕。
雖然這個自稱THT的組織並不廣為人知,但它以利用已知漏洞並隱蔽的方式來躲避檢測的作法,一直以來都有攻擊醫療機構的記錄。
在有關癌症中心遭受攻擊的通知中,美國衛生與人類服務部(Department of Health & Human Services)的醫療部門網路安全協調中心(Healthcare Sector Cybersecurity Coordination Center,HC3)表示,THT首次被研究人員發現於2018年7月,並曾經攻擊過世界各地的醫療機構。
通知中指出:「我們對這個鮮為人知的駭客組織了解甚少,但當他們的勒索軟體部署時,他們的技術可以在目標環境中加密資料,使得健康和公共衛生(health and public health,HPH)部門癱瘓。」
HC3並未點名THT最新的目標,但指出該次對癌症中心的攻擊使其數位服務無法使用,使患者的受保護健康資訊面臨風險,並大大減少了醫療中心為患者提供治療的能力。
對THT的戰術、技術和程序(Tactics, Techniques, and Procedures,TTPs)的研究顯示,它疑似與一個中國惡意軟體組織存在聯繫,包括DeepBlueMagic和APT41,這兩個組織過去都有攻擊醫療機構的歷史。然而,目前尚不清楚這些組織是否有共同成員,或者僅僅使用了相似的方法。
什麼是LOTL攻擊?
採用「Living-off-the-land」(LOTL)的方式,使得這些組織能夠在不被安全解決方案偵測到的情況下對文件進行加密。LOTL攻擊,有時被描述為無文件惡意軟體攻擊,是一種敵對技術,利用被認為友好並且不被標示為惡意的應用程式。例如,可能使用像PowerShell和Windows管理規範(Windows Management Instrumentation,WMI)這樣的Windows工具來打開系統,以進行惡意軟體攻擊。
通知中指出:「與許多勒索軟體組織使用自定義工具加密受害者文件不同,THT濫用像Microsoft Bitlocker和Jetico’s BestCrypt這樣的合法工具的特點使其在威脅行為中獨樹一幟。」
HC3表示,THT的勒索軟體攻擊似乎針對中型到大型伺服器的醫療機構,該組織通常利用常見的漏洞對易受攻擊的VPN進行攻擊,以獲得對受害者網路的初始遠程存取權限。
THT利用未修補的漏洞
HC3表示,一般的情況下,THT會使用透過漏洞利用具有管理權限的憑證進行網路身份驗證。一旦THT成功進入受害者的網路,他們將會在網路中移動,尋找橫向擴散的機會。HC3還表示:「這個威脅團體還利用了早在2021年初在Microsoft Exchange伺服器中發現的(現已修補的)零日漏洞,以及最近在Fortinet防火牆中發現的漏洞。」
這就是THT對癌症中心最新攻擊的情況,他們攻擊了Fortinet的FortiOS SSL-VPN,利用了CVE-2022-42475這個基於堆疊的緩衝區溢位漏洞,該漏洞導致遠程攻擊者能使用特製的請求執行程式碼或命令。
TimisoaraHackerTeam的名字來自羅馬尼亞的蒂米什瓦拉市,研究人員表示對THT的原始碼的檢查表明它是由羅馬尼亞語言使用者創建的。
根據HC3的通知,一個發生在2021年4月的對法國一家醫院的攻擊被歸因於THT,而發生在2021年8月的以色列Hillel Yaffe醫療中心的攻擊則是由DeepBlueMagic進行的「最臭名昭著」攻擊。
HC3表示:「Hillel Yaffe醫療中心事件使醫院大部分電腦系統癱瘓,不僅導致大量資料被盜,包括機密患者資訊,還無法存取患者文件和患者登記系統,以及電動門停止運作。 」,「僅僅幾天的時間,對這家醫療中心的攻擊(被歸因於DeepBlueMagic)引發了對該國其他九家醫院和衛生組織的進一步攻擊,這是以色列衛生部門有史以來發生的最大規模的網路攻擊。」
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:Simon Hendery(2023). Ransomware gang preys on cancer centers, triggers alert. SCmedia.
檢自:https://www.scmagazine.com/news/ransomware/ransomware-cancer-center-alert
