朝鲜网络攻击医疗行业的最新警告

重点摘要

朝鲜的国家支持网络威胁行为者正在持续针对医疗行业进行攻击，使用Maui和H0lyGh0st勒索软件，从赎金中获得收入以支持国家优先事项，包括针对美国和韩国的间谍网络行动。网络安全和基础设施安全局（CISA）、FBI、国家安全局、卫生与公众服务部以及其他相关机构发出联合警报，提醒医疗机构注意这些威胁及现有的攻击手法。

朝鲜（DPRK）支持的威胁行为者正在以强势持续针对医疗行业，使用Maui和H0lyGh0st勒索软件，通过赎金获得的收入来支持国家优先事务，包括针对美国和韩国的间谍网络行动。

来自网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、国家安全局（NSA）、卫生与公众服务部（HHS）、韩国国家情报院（NIS）及ROK国防安全局的联合警报是对2020年7月建议的更新。

医疗及公共卫生实体被鼓励使用报告中列出的IOC（指标），以了解当前攻击手法。这一建议也与其他关于持续国家级攻击的警告相结合，这些攻击包括两种DDoS攻击方法，以及针对未修补Zimbra设备的的活动。

行业相关者对这波持续的攻击和对资源较少组织的潜在影响感到越来越担忧，可能会威胁到病人的安全。目前，两家美国医院和一家位于加拿大的医院因遭受网络事件而处于网络停机状态，其中一起事件归因于勒索软件。

与朝鲜有关的持续攻击正针对医疗及其他关键基础设施组织，使用加密货币要求勒索金，以支持特定针对国防部信息网络和国防工业基础成员网络的攻击。

这一持续的活动利用了典型的勒索软件战术，但调查人员还观察到，这些攻击者通过“获取和购买基础设施”来掩盖他们与朝鲜的联系。

“攻击者生成域名、身份和账户，并识别加密货币服务以进行勒索软件操作，”警报中提到。基础设施、IP地址和域名是通过网络犯罪活动，如勒索软件和加密货币盗窃的方式，用加密货币购买的。

此外，攻击者还通过与第三方外国附属身份和其他外国中介合作，隐藏他们的关联，以接受赎金支付，或使用虚拟私人网络、虚拟私人服务器和第三国IP地址，“使其看起来来自无害位置而非朝鲜。”

这些行为者在攻击中还使用了公开可用的工具，包括BitLocker、Deadbolt、Hidden Tear、Jigsaw、LockBit2.0、NxRansomware和Ryuk等。此外，“在某些情况下，朝鲜行为者假装成其他勒索软件集团”。

这些威胁行为者利用并会利用常见的漏洞来获得访问权限并提升权限。警报显示（或Log4Shell）和未修补SonicWall设备中的远程代码执行漏洞是这些攻击者近期利用的CVEs。

官员警告，这些行为者也很可能通过被特洛伊木马化的文件传播恶意代码，例如‘X-Popup’，这是一款小型和中型医院员工常用的开源通讯软件。警报中包含了用于参考的IOC信息。

一旦利用成功，分阶段的有效载荷与定制恶意软件用于侦察活动，并安装额外文件及可执行文件，以及执行shell命令。该恶意软件还用于从受害者的网络中收集数据，并发送到黑客控制的远程主机。

警报还警告称，这些“行为者可能威胁曝光公司的专有数据给竞争对手，如果赎金未付的话。”但是，联邦官员“强烈不建议支付赎金，因为这并不能保证文件和记录能够被恢复，并可能带来制裁风险。”

组织被敦促确保他们的网络认证和加密连接，以