【安全资讯】APT组织使用Tardigrade恶意软件,攻击生物制造行业

安恒威胁情报中心 2021-11-25 14:18:19 286人浏览

引言

11月23日,美国生物经济信息共享与分析中心 (BIO-ISAC) 发布报告,披露了一场针对生物制造设施的攻击活动。该活动于2021 年春季首次被观察到,攻击者使用了名为Tardigrade的恶意软件。由于恶意软件的复杂性极高,且攻击活动具有间谍活动的性质,因此研究人员认为该活动背后的攻击者是一个APT组织。

 

 

简况

自 2021 年春季以来,该活动的攻击者一直在积极瞄准生物制造领域的实体,攻击时间线如下:

 

 

攻击活动的第一个明显迹象是以勒索软件感染的形式出现的,但攻击者留下的赎金票据并未表明对赎金的强烈兴趣。因此研究人员认为,这些勒索软件部署的目的可能是为了隐藏实际有效载荷。

 

 

Tartigrade是SmokeLoader的自定义变体,可以通过网络钓鱼或u盘传播。Tartigrade可以从内存中重新编译加载程序,且不会留下一致的签名,因此难以识别、跟踪和删除。

 

 

SmokeLoader在攻击活动中可以充当攻击者的隐形入口点,下载更多有效载荷、操作文件和部署其他模块。过去的SmokeLoader变体严重依赖外部,但Tartigrade变体可以自主运行,甚至无需 C2 连接。即使 C2 宕机,恶意软件仍会根据内部逻辑和高级决策能力继续横向移动,甚至具有选择性识别文件进行修改的能力。

 

 

目前尚不清楚攻击的起源,也没有归因于特定的攻击者。但研究人员确定,攻击者的目标是网络间谍活动。并且由于恶意软件的复杂程度很高,因此该活动的攻击者很可能是APT组织。

 

 

总结

随着世界争先恐后地开发、生产和分销尖端疫苗和药物,以抵抗新冠疫情,生物制造的重要性得到了充分体现。BIO-ISAC鼓励生物制造企业及合作伙伴采取必要措施,审查他们的网络安全和响应态势。

 

 

 

 

APT Tardigrade SmokeLoader 生物制造 医疗卫生
    1条评论
    Alphabug
    牛逼
    13天前
    0
    1
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。