14/11/23
Компания Huntress обнаружила серию хакерских атак, нацеленных на несколько медицинских организаций в США. Целью злоумышленников стали системы удаленного доступа ScreenConnect, активно используемые в сфере здравоохранения.
Ключевым элементом атак является злоупотребление инфраструктурой компании Transaction Data Systems (TDS), которая предоставляет системы управления и снабжения для аптек и присутствует во всех 50 штатах США. По данным Huntress, киберпреступники для проведения атак использовали локальные экземпляры ScreenConnect, внедренные в системы TDS. Об этом пишет Securitylab.
Эксперты Huntress выявили вредоносную активность на конечных точках у двух различных медицинских организаций. Отмечены также подготовительные действия хакеров, направленные на расширение масштаба атаки, включая установку дополнительных инструментов удаленного доступа ScreenConnect или AnyDesk для обеспечения постоянного доступа к сетям.
Особое внимание вызывает методика проведения атак. Исследователи обнаружили схожие тактики, техники и процедуры (Tactics, Techniques, and Procedures, TTPs) в каждом инциденте. Примером служит загрузка файла text.xml, содержащего код на C#, который загружает полезную нагрузку Meterpreter в системную память, минуя обнаружение с помощью PowerShell. Также зафиксировано использование службы печати для запуска дополнительных процессов.
Хакеры сосредоточились на конечных точках, работающих на Windows Server 2019, принадлежащих двум разным организациям – одной в фармацевтической отрасли, другой в сфере здравоохранения. Общим звеном между ними оказалась установка ScreenConnect.
На текущий момент не ясно, была ли компания TDS скомпрометирована или это результат утечки учетных данных. Неясность ситуации добавляет тревоги, так как неопределенность в таких случаях может привести к дополнительным рискам для медицинских учреждений и их пациентов.
