东方时讯网最近的一起事件将广泛使用的远程访问工具ScreenConnect推到了聚光灯下。医疗保健行业是一个常见的目标领域,发现自己面临着重大威胁。威胁参与者已成功入侵ScreenConnect以利用多个WindowsServer实例。Huntress是一家著名的网络安全公司,在检测到医疗保健行业内未经授权的访问后发出了警报。他们发现的证据表明,针对医疗机构的其他恶意活动正在进行内部侦察和准备。
ScreenConnect是一种用于远程计算机访问和控制的工具,在包括医疗保健在内的各个领域都很受欢迎。它用于技术支持和远程管理系统。然而,最近的违规事件凸显了如果ScreenConnect落入坏人之手的潜在危险。任何针对医疗保健系统的网络攻击都会使大量客户数据面临风险。
对此网络安全事件的调查表明,有针对性地利用组织网络内托管的本地ScreenConnect会话来获得对受害者网络的初始访问权限。ScreenConnect会议由TransactionDataSystems(现称为Outcomes)在本地主办。攻击者可能在了解内部人士的情况下采取了额外的措施。接下来,他们不仅破坏了本地ScreenConnect会话,还策略性地安装了补充工具,例如ScreenConnect和AnyDesk的其他实例。此举确保了在较长时间内对受感染系统的持续访问和控制。
Huntress对情况的调查发现,两个不同的攻击端点总共有四个ScreenConnect实例。更有趣的是,这些端点属于医疗保健行业内完全不同的组织。他们确定了两个端点上都存在一个ScreenConnect实例,标记为实例B。此外,该漏洞还涉及两个Windows服务器系统。
两个端点(一个在制药领域,另一个在医疗保健领域)共享同一个恶意ScreenConnect实例
通过分析服务器日志,Huntress确定ScreenConnect实例B主动下载了有效负载。Huntress表示,“有效负载test.xml由C#代码组成,该代码派生了公开可用的nps项目,用于检测规避和流程执行。按照设计,有效负载尝试将MetasploitMeterpreter实例加载到内存中,但系统上的反恶意软件保护已识别并尝试终止执行。然而,这似乎并没有成功,因为观察到通过打印机后台处理程序服务spoolsv.exe启动了其他进程。”
该实例充当攻击者执行多种操作的通道,例如安装更多工具、运行命令和移动文件。值得注意的是,威胁行为者将恶意ScreenConnect实例链接到与TransactionDataSystems关联的域。这表明与交易数据系统相关的远程管理工具可能受到损害或滥用。
这种联系引发了关键问题。这是否表明交易数据系统遭到彻底破坏?攻击者是否获得了员工凭证,或者是否有其他机制在起作用?由于组织依靠远程访问工具来提高效率,因此保护这些工具免受潜在威胁变得比以往任何时候都更加重要。