中国政府系のハッカーグループが、医療ソフトウェアを偽装してバックドアおよびキーロガー、仮想通貨のマイニングプログラムなどを患者のコンピュータに感染させる攻撃を行っていることが判明しました。
Forescoutのサイバーセキュリティ部門、Vedere Labsによると、攻撃者はPhilips DICOMなど、正規の医用画像ビューアーになりすまして攻撃を実行しています。
Vedere Labsのリサーチャーは、2024年7月から2025年1月の間に収集された数十のマルウェアサンプルを特定することに成功しました。マルウェアを分析した結果、MediaViewerLauncher.exe(Philips DICOMビューアー)やemedhtml.exe(EmEditor)など、ソフトウェアを装ったプログラムは、検知を回避するためにPowerShellコマンドを使用していることが確認できました。
これらのファイルは、通常のアプリケーションの代わりに、中国政府系ハッカー集団 ‘Silver Fox’(別名:’Void Arachne’、’The Great Thief of Valley’)が使用するリモートアクセスツール ’ValleyRAT’ を展開します。この集団は、いままで中国語圏のユーザーを標的としていましたが、リサーチャーは戦略の変化を指摘しています。
Vedere Labsのリサーチャー、Amine Amri、Sai Molige、Daniel dos SantosはSilver Foxの戦略の変化に関して次のように説明しています。「医療アプリケーションを模倣したファイル名、英語の実行ファイル、米国やカナダからの送信されたファイルを含む新しいマルウェアクラスターは、この集団が新しい地域や分野に攻撃対象を拡大している可能性を示唆しています。」
Silver Foxは現在、認証情報を窃取するキーロガーや、金銭目的でシステムリソースを乗っ取る暗号通貨採掘プログラムなどを展開しています。正確な配布方法は不明ですが、過去のキャンペーンではSEOポイズニングやフィッシングを使用して、ユーザーにマルウェアを強制的にダウンロードさせていました。
マルウェアが実行されると、ping.exe、find.exe、cmd.exe、ipconfig.exeなど、Windowsの標準ユーティリティを悪用して、Alibaba CloudにホストされているCommand&Control(C2)サーバーに接続します。その後、PowerShellコマンドを実行してWindows Defenderを無効化し、悪意のあるコードの検出を防ぎます。
マルウェアはAlibaba Cloudバケットから下記の暗号化されたペイロードを取得します:
・TrueSightKiller :ウイルス対策やエンドポイント検知ツールを無効化
・Cyren AV DLL :デバッグ回避コードを含む
セキュリティ防御を回避した後、マルウェアはValleyRATをダウンロードし、さらにキーロガーや仮想通貨のマイニングプログラムなどの追加ペイロードを取得します。
このキャンペーンは主に患者様のデバイスを標的としていますが、医療機関にとって重大なリスクとなります。リサーチャーは、感染したデバイスが病院に持ち込まれることでネットワーク全体にマルウェアが拡散する可能性を次のように説明しています。「患者様が診断のために感染したデバイスを病院に持ち込む場合や、患者様が所有しているデバイスを利用する在宅医療プログラムなどでは、感染が個々の患者様のデバイスを超えて拡大し、攻撃者が医療ネットワークへの初期アクセスを獲得する可能性があります。」
分析を行った時点では、C2サーバーはオフラインでしたが、Alibaba Cloudのストレージバケットにはアクセス可能な状態でした。医療機関は今後もサイバー脅威に対して警戒を続ける必要があります。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
原典:Stu Sjouwerman著 2025年2月27日発信 https://blog.knowbe4.com/chinese-hackers-target-hospitals-by-spoofing-medical-software