【安全资讯】APT组织使用Tardigrade恶意软件，攻击生物制造行业

引言

11月23日，美国生物经济信息共享与分析中心 (BIO-ISAC) 发布报告，披露了一场针对生物制造设施的攻击活动。该活动于2021 年春季首次被观察到，攻击者使用了名为Tardigrade的恶意软件。由于恶意软件的复杂性极高，且攻击活动具有间谍活动的性质，因此研究人员认为该活动背后的攻击者是一个APT组织。

简况

自 2021 年春季以来，该活动的攻击者一直在积极瞄准生物制造领域的实体，攻击时间线如下：

攻击活动的第一个明显迹象是以勒索软件感染的形式出现的，但攻击者留下的赎金票据并未表明对赎金的强烈兴趣。因此研究人员认为，这些勒索软件部署的目的可能是为了隐藏实际有效载荷。

Tartigrade是SmokeLoader的自定义变体，可以通过网络钓鱼或u盘传播。Tartigrade可以从内存中重新编译加载程序，且不会留下一致的签名，因此难以识别、跟踪和删除。

SmokeLoader在攻击活动中可以充当攻击者的隐形入口点，下载更多有效载荷、操作文件和部署其他模块。过去的SmokeLoader变体严重依赖外部，但Tartigrade变体可以自主运行，甚至无需 C2 连接。即使 C2 宕机，恶意软件仍会根据内部逻辑和高级决策能力继续横向移动，甚至具有选择性识别文件进行修改的能力。

目前尚不清楚攻击的起源，也没有归因于特定的攻击者。但研究人员确定，攻击者的目标是网络间谍活动。并且由于恶意软件的复杂程度很高，因此该活动的攻击者很可能是APT组织。

总结

随着世界争先恐后地开发、生产和分销尖端疫苗和药物，以抵抗新冠疫情，生物制造的重要性得到了充分体现。BIO-ISAC鼓励生物制造企业及合作伙伴采取必要措施，审查他们的网络安全和响应态势。