注意：发现针对医疗实验室的APT攻击

国庆期间，在为某医疗设备的客户测试卡巴斯基的APT监测设备KATA时，发现一条可疑的告警信息，相关信息通过卡巴斯基的威胁情报判定，图片中标红的部分，即TA-related host（威胁情报相关联主机）。

通过对该告警事件的分析，疑似针对亚洲医疗实验室的间谍组织的记录。很大可能是通过钓鱼邮件的方式进行传播，目前并没有数据泄露发生，也没有证据确定其来源或与已知威胁行为者的关系，但据安全公司分析，该组织可能对涉及covid-19相关治疗或疫苗的行业垂直领域感兴趣，目前在收集情报阶段。

该威胁活动的突出之处在于没有数据泄露和自定义恶意软件，威胁行动者使用开源工具进行情报收集。通过使用已经可用的工具，使攻击更加隐蔽。研究人员说：“该组织使用的工具表明，他们希望能够持续和秘密地访问受害者的机器，并努力升级特权，并在受害者网络中横向传播。”

外国媒体的针对该组织的报告，赛门铁克、安博士曾有过报道。

https://thehackernews.com/2023/02/hydrochasma-new-threat-actor-targets.html

技术人员已经收集了该威胁的IOC指标，有需要的关注“大兵说安全”，在后台留言索取，部署有EDR的客户，将上述IOC文件导入即可进行全网防护。参考《从一次攻击过程看EDR的作用》。

*感谢卡巴斯基山东服务中心高进提供素材

历史文章：

教你一招，轻松变成反病毒高手

从一次攻击过程看EDR的作用

做好网络安全必须要做的一步工作...

CIS关于网络安全的18条安全控制措施

心存敬畏 安全常在

应急响应预案该怎么制定？

也来聊聊态势感知（上）

也来聊聊态势感知（中）

也来聊聊态势感知（下）

欢迎关注：大兵说安全

原文始发于微信公众号（大兵说安全）：注意：发现针对医疗实验室的APT攻击