疫苗中心遭黑客攻击警示医疗界

关键要点

本月美国一癌症中心遭到不知名的勒索软件团体攻击，暴露了医疗界面临的威胁。该团体名为 TimisoaraHackerTeam
(THT)，因使用“鲜为人知且非常有效”的技术引起警觉。他们的手法常常绕过安全检测，引起了广泛关注与警告。

本月，美国一座癌症中心遭到一个名为 TimisoaraHackerTeam (THT)
的勒索软件团体攻击，这引发了对医疗行业的警告，强调该威胁团体使用的“鲜为人知且非常有效”的技术策略。

尽管 THT 并不广为人知，但它有攻击医疗设施的历史，擅长利用已知漏洞，并采取类似“生活在土地上”的方法来降低被检测的风险。

根据卫生与公众服务部的通知，该团体在 2018 年 7 月首次被研究人员发现，随后针对全球多个医疗组织展开攻击。

“关于这个不为人知的黑客团体信息不多，但是当其勒索软件启动时，他们在目标环境中加密数据的鲜为人知且极为有效的技术导致了医疗及公共健康（HPH）行业的瘫痪。”该通知指出。

HC3（医疗行业网络安全协调中心）没有透露 THT最新攻击的具体目标，但强调这次对癌症中心的攻击使其数字服务无法使用，导致患者的受保护健康信息面临风险，并显著减少了该医疗中心为患者提供治疗的能力。

对于 THT 的战术、技术和程序（TTPs）的研究显示，它与一些怀疑来自中国的恶意软件团体有关，这些团体包括 DeepBlueMagic 和
APT41，它们都曾针对医疗组织展开攻击。然而，目前尚不清楚这些团体是否共享成员或仅仅使用了相似的方法。

采用类似“生活在土地上”（LOTL）的方法，使这些团伙能够在未被安全解决方案检测到的情况下加密文件。LOTL攻击，有时被称为无文件恶意软件攻击，利用被认为是友好的应用程序，而不会被标记为恶意。

例如，攻击可能包括使用 Windows 工具，如 PowerShell 和 Windows Management Instrumentation
(WMI)，以打开系统，便于恶意软件攻击。

“与许多勒索软件团体使用自定义工具加密受害者文件不同，THT 采用滥用微软 Bitlocker 和 Jetico 的 BestCrypt
等合法工具的策略，使其在威胁团体中独树一帜。”通知中写道。

HC3 指出，THT 的勒索软件攻击似乎主要针对中大型服务器的医疗组织，该团体通常利用常见漏洞（CVEs）针对易受攻击的 VPN，以获取初始的远程访问权限。

HC3 表示：“THT 通常使用通过漏洞利用获得的管理级凭据验证网络。一旦进入受害者网络，他们会寻求在网络中横向移动。”

“该威胁团体还利用了 2021 年早些时候发现在 Microsoft Exchange 服务器中的 [现已修复] 零日漏洞，以及 Fortinet防火墙中的最近漏洞。”

在 THT 最新对癌症中心的攻击中，他们利用了 Fortinet 的 FortiOS SSL-VPN，具体攻击了
CVE-2022-42475，这是一个基于堆的缓冲区溢出漏洞，允许远程攻击者通过特别构造的请求执行代码或命令。

TimisoaraHackerTeam 的名字来源于罗马尼亚的一个城镇，研究人员表示，对 THT 源代码的分析显示其可能由讲罗马尼亚语的人编写。

根据 HC3 的通知，2021 年 4 月对一所法国医院的攻击被“粗略归因”给 THT，而 2021 年 8 月对以色列 Hillel Yaffe医疗中心的攻击则是 DeepBlueMagic 最为“臭名昭著”的一次。

“[Hillel Yaffe]
事件造成医院大多数计算机系统瘫痪，导致了大量数据的盗取，包括机密患者信息，无法访问患者档案和患者登记系统，甚至电动门也失灵，”HC3说。“在短短几天内，针对