ΑρχικήsecurityΟι χάκερ Hydrochasma στοχεύουν εργαστήρια ιατρικής έρευνας

Οι χάκερ Hydrochasma στοχεύουν εργαστήρια ιατρικής έρευνας

Ένας νέος κακόβουλος φορέας που ονομάζεται Hydrochasma έχει εξαπολύσει κυβερνοεπιθέσεις σε οργανισμούς που εμπλέκονται στην ανάπτυξη εμβολίων και θεραπειών COVID-19, συμπεριλαμβανομένων ιατρικών εργαστηρίων και shipping εταιρειών.

Από τον περασμένο Οκτώβριο, οι κυνηγοί απειλών της Symantec -ένα τμήμα της Broadcom- παρακολουθούν τις ενέργειες των χάκερ Hydrochasma, των οποίων η πρόθεση φαίνεται να είναι η συλλογή πληροφοριών.

Οι επιθέσεις Hydrochasma ξεχωρίζουν λόγω της εξάρτησής τους από εργαλεία ανοιχτού κώδικα και των τακτικών “living off the land” (LotL), εξαλείφοντας κάθε στοιχείο που θα μπορούσε ενδεχομένως να τους οδηγήσει σε αυτούς.

Δείτε επίσης: Fake ChatGPT apps/sites διανέμουν Windows & Android malware

Πιστεύεται ότι μια επίθεση Hydrochasma πιθανότατα ξεκινά με ένα phishing email, καθώς η Symantec αποκάλυψε εκτελέσιμα αρχεία που αντικατοπτρίζουν έγγραφα ως πηγή κακόβουλης συμπεριφοράς σε μολυσμένους υπολογιστές.

Για να εξαπατήσουν τις shipping εταιρείες, τα απατηλά έγγραφα χρησιμοποιούν ένα μοτίβο “πληροφοριών προδιαγραφών προϊόντος”, ενώ τα ιατρικά εργαστήρια θυματοποιούνται με ένα “βιογραφικό σημείωμα υποψηφίου για εργασία”.

Μετά την παραβίαση ενός μηχανήματος, ο εισβολέας χρησιμοποιεί την πρόσβαση για να κάνει drop έναν Fast Reverse Proxy (FRP), ο οποίος μπορεί να εκτεθεί στους δημόσιους τοπικούς web servers πίσω από ένα NAT (Network Address Translation) ή ένα firewall.

Δείτε επίσης: Google Bug Bounty: Το 2022 δόθηκαν $ 12 εκατ. σε ερευνητές

Στη συνέχεια, ο εισβολέας αναπτύσσει τα ακόλουθα εργαλεία στο σύστημα που έχει διεισδύσει:

  • Meterpreter (μεταμφιεσμένο ως Microsoft Edge Updater) ένα εργαλείο με προηγμένες δυνατότητες penetration testing που παρέχει απομακρυσμένη πρόσβαση
  • Gogo: μια μηχανή αυτοματοποιημένης σάρωσης δικτύου
  • Process Dumper, για dump κωδικών πρόσβασης τομέα (lsass.exe)
  • Cobalt Strike beacon, για εκτέλεση εντολών, εισαγωγή διεργασιών, αποστολή/λήψη αρχείων
  • AlliN scanning tool, χρησιμοποιείται για πλευρική κίνηση
  • Fscan: σαρωτή ανοιχτών θυρών
  • Dogz: δωρεάν εργαλείο VPX proxy
  • SoftEtherVPN: δωρεάν εργαλείο ανοιχτού κώδικα VPN
  • Procdump: ένα βοηθητικό πρόγραμμα Microsoft Sysinternals που επιτρέπει τη δημιουργία ενδείξεων σφαλμάτων, ενδείξεων επεξεργασίας και την παρακολούθηση της χρήσης της CPU μιας εφαρμογής
  • BrowserGhost: browser password grabber
  • Gost proxy: εργαλείο tunneling
  • Ntlmrelay:χρησιμοποιείται για επιθέσεις αναμετάδοσης NTLM και για την αναχαίτιση έγκυρων αιτημάτων ελέγχου ταυτότητας
  • Task Scheduler: αυτοματοποιεί τις εργασίες σε ένα σύστημα
  • Go-strip: μειώνει το μέγεθος ενός δυαδικού Go
  • HackBrowserData: βοηθητικό πρόγραμμα ανοιχτού κώδικα για την αποκρυπτογράφηση δεδομένων του προγράμματος περιήγησης

Με τη χρήση ενός τόσο μεγάλου καταλόγου εργαλείων που είναι διαθέσιμα στο κοινό, είναι δύσκολο να αποδοθεί οποιαδήποτε κακόβουλη δραστηριότητα σε συγκεκριμένους φορείς – γεγονός που δείχνει ότι οι χάκερ θέλουν να παραμείνουν στο δίκτυο του θύματος για μεγάλο χρονικό διάστημα.

Hydrochasma

Οι ερευνητές δεν μπορούν να αποκλείσουν την πιθανότητα ο Hydrochasma να είναι ένας αναγνωρισμένος απειλητικός φορέας που άρχισε να χρησιμοποιεί αποκλειστικά εργαλεία και τακτικές LotL σε συγκεκριμένες εκστρατείες σε μια προσπάθεια να αποκρύψει τις δραστηριότητές του.

Δείτε επίσης: Το νέο S1deload Stealer malware χακάρει YouTube και Facebook accounts

Προς το παρόν, οι μόνες αισθητές ενδείξεις για την προέλευση του απειλητικού παράγοντα Hydrochasma προέρχονται από τα θύματά του που βρίσκονται στην Ασία– ωστόσο, οι πληροφορίες αυτές από μόνες τους δεν επαρκούν για τη διαμόρφωση ενός ολοκληρωμένου προφίλ.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS