A Silver Fox APT a Philips DICOM eszközöket is célba veszi
Az egészségügy volt az egyik leginkább célzott kritikus infrastruktúra ágazat 2023-ban és 2024-ben is. Az egészségügyi intézményeket ért támadások közül sok ransomware támadás volt, amelyek hatással voltak az adatok elérhetőségére és potenciálisan megzavarhatták a betegellátást. Mindemellett egyes kiberszereplők közvetlenül az orvosi alkalmazásokat használták ki.
A Forescout Research – Vedere Labs új rosszindulatú szoftverekre irányuló fenyegetésvadászat során egy 29 rosszindulatú mintából álló, Philips DICOM megjelenítőnek álcázott klasztert azonosított. Ezek a minták telepítették a ValleyRAT-ot, egy backdoor-t, amelyet a kínai Silver Fox kiberszereplő használ az áldozatok eszközei feletti ellenőrzés megszerzésére. A backdoor-on kívül az áldozatok eszközeit egy keyloggerrel és egy kriptobányász szoftverrel is megfertőzték, ami korábban nem volt jellemző a Silver Fox tevékenységére.
A Forescout által elemzett minták a Philips DICOM-megjelenítő elsődleges futtatható fájljának trójai változatát tartalmazták (MediaViewerLauncher.exe). Az azonosított mintákat 2024 december és 2025 január között küldték be a VirusTotalhoz az Egyesült Államokból vagy Kanadából. A kártevők egyes esetekben az EmEditor-hez kapcsolódó emedhtml.exe-nek, valamint illesztőprogramoknak és segédprogramoknak álcázták magukat, mint például x64DrvFx.exe. A MediaViewerLauncher.exe első lépcsős hasznos teherként működött. Az első fázisú loader további hasznos terheléseket tölt le egy AliBaba felhőtárhelyről, majd végrehajtja azokat, és biztosítja a perzisztenciát. A második fázisú payload-ok felelősek a végpontvédelmek kikapcsolásáért vagy tiltásáért és a harmadik fázis betöltéséért, ami a már említett ValleyRat backdoor. Bár a pontos terjesztési módszert nem tudták megállapítani a kutatók, a Silver Fox korábban SEO-poisoning és adathalászat útján terjesztett rosszindulatú programokat.
A Forescout megosztotta az azonosított IOC-kat is.
