[ad_1]
Les chercheurs en sécurité avertissent que les pirates informatiques ciblent plusieurs établissements de santé aux États-Unis en abusant de l’outil d’accès à distance ScreenConnect.
Les acteurs de la menace exploitent les instances ScreenConnect locales utilisées par Transaction Data Systems (TDS), un fournisseur de solutions de chaîne d’approvisionnement et de systèmes de gestion pharmaceutique présent dans les 50 États.
Les chercheurs de la plateforme de sécurité gérée Huntress ont repéré les attaques et rapportent les avoir vues sur les points finaux de deux organisations de soins de santé distinctes, ainsi qu’une activité indiquant une reconnaissance du réseau en vue de l’escalade de l’attaque.
« L’acteur malveillant a pris plusieurs mesures, notamment en installant des outils d’accès à distance supplémentaires tels que des instances ScreenConnect ou AnyDesk, pour garantir un accès persistant aux environnements » – Chasseresse
Les intrusions observées ont été observées entre le 28 octobre et le 8 novembre 2023 et elles se produisent probablement encore.
Détails de l’attaque
Huntress rapporte que les attaques comportent des tactiques, techniques et procédures (TTP) similaires. Ceux-ci incluent le téléchargement d’une charge utile nommée texte.xmlindiquant que le même acteur est à l’origine de tous les incidents observés.
Le .XML contient du code C# qui charge la charge utile d’attaque Metasploit Meterpreter dans la mémoire système, en utilisant non-PowerShell pour échapper à la détection.
Selon Huntress, des processus supplémentaires ont été observés en cours de lancement à l’aide du service Printer Spooler.
Les points de terminaison compromis fonctionnent sur un système Windows Server 2019, appartenant à deux organisations distinctes : l’une dans le secteur pharmaceutique et l’autre dans le secteur de la santé, le lien commun entre elles étant une instance ScreenConnect.
L’outil d’accès à distance a été utilisé pour installer des charges utiles supplémentaires, pour exécuter des commandes, transférer des fichiers et installer AnyDesk. Les pirates ont également tenté de créer un nouveau compte utilisateur pour un accès persistant.
Les chercheurs ont déterminé que l’instance ScreenConnect était liée au ‘rs.tdsclinical[.]com’ associé à TDS.
À l’heure actuelle, il n’est pas clair si TDS a subi une violation, si les informations d’identification de l’un de ses comptes ont été compromises ou si les attaquants exploitent un mécanisme différent.
Huntress a tenté à plusieurs reprises d’informer TDS, désormais connu sous le nom de « Outcomes », suite à une fusion l’été dernier, mais l’entreprise n’a pas répondu.
[ad_2]
