Smascherata: la volpe d'argento, finanziata dalla Cina, infiltra l'infrastruttura del sistema sanitario con punti di accesso nascosti
In una preoccupante evoluzione, gli esperti di cybersecurity hanno scoperto una nuova campagna malware del gruppo di hacker finanziato dalla Cina, Silver Fox. Il gruppo, precedentemente noto per il targeting di istituzioni governative e imprese, ha ora spostato la propria attenzione sulle organizzazioni di consegna sanitaria (HDO), sulle società di cybersecurity, sull'e-commerce, sulla finanza, sulle vendite e sulle imprese di gestione.
Il malware, denominato MediaViewerLauncher.exe, rappresenta la prima fase di questa campagna a più fasi. Esso esegue il beaconing e la ricognizione, controlla la connettività al server di Comando e Controllo (C2) e impiega tecniche di evasione della sicurezza per evitare la rilevazione. Il malware è oscurato e utilizza diverse tecniche di evasione per resistere all'analisi, rendendolo difficile per i difensori rilevare e rispondere alla minaccia.
Il malware viene consegnato utilizzando comandi PowerShell e scarica payloads crittografati da un bucket di Alibaba Cloud. L'utilizzo di bucket di storage cloud suggerisce che l'attore sta sfruttando i servizi cloud per supportare le proprie operazioni.
In caso di infezione riuscita, il malware scarica ValleyRAT, un trojan di accesso remoto (RAT) documentato per la prima volta all'inizio del 2023. ValleyRAT concede agli attaccanti il controllo completo dei computer delle vittime, potenzialmente aprendo porte in reti ospedaliere sensibili. Il malware include anche una backdoor, un keylogger e un miner di criptovaluta, indicando l'introduzione di nuove tecniche, tattiche e procedure (TTP) nelle campagne di Silver Fox.
Il software target è Philips Digital Imaging and Communications in Medicine (DICOM), uno standard comune per la gestione dei dati di imaging medico. L'utilizzo di nomi di file legati alla salute e di eseguibili in lingua inglese, insieme alle sottmissioni di file dagli Stati Uniti e dal Canada, suggerisce che Silver Fox potrebbe espandere il proprio targeting a nuove regioni e settori.
L'analisi recente da parte della società cinese Knownsec's 404 Advanced Threat Intelligence Team suggerisce che Silver Fox potrebbe essere un gruppo di minacce persistenti avanzate (APT) che si spaccia per criminali informatici. Tuttavia, l'organizzazione dietro il gruppo di attacchi informatici Silver Fox rimane specificata nelle informazioni fornite.
Per minimizzare il rischio e prevenire l'accesso non autorizzato, le HDO sono raccomandate a evitare il download di software o file da fonti non attendibili, proibire il caricamento di file da dispositivi dei pazienti sui workstation sanitari o su altro equipaggiamento connesso alla rete, implementare una forte segmentazione della rete, assicurarsi che tutti i terminali siano protetti con antivirus o soluzioni di Risposta alle Minacce sui Punti Estremi (EDR) aggiornati, monitorare continuamente tutto il traffico di rete e la telemetria dei terminali per attività sospette e cacciare proattivamente le attività maliziose che si allineano con il comportamento dei gruppi di minacce noti.
Leggi anche:
- Le cellule immunitarie nell'intestino possono contribuire allo sviluppo dell'Alzheimer
- Titolo di prima pagina: Eventi mondiali
- Esplorare le prospettive industriali del silicio nell'economia globale!
- La pioggia ha interrotto il primo incontro di Trump con i leader tecnologici nel Rose Garden, dopo la sua decisione di pavimentare il prato bagnato per ridurre al minimo i potenziali problemi meteorologici.
