详细内容或原文请订阅后点击阅览
在NHS Temping Arm裸露的安全孔
独家事件响应者建议在Active Directory数据库HeistcyBliminals闯入属于英国NHS专业人士机构的系统之后进行全面改进,窃取了其Active Directory Database,但医疗保健组织从未公开公开披露,登记册可以揭示。
来源:The Register _恶意软件独家网络犯罪分子在2024年5月闯入了属于英国NHS专业人士机构的系统,窃取了其Active Directory数据库,但医疗保健组织从未公开披露它。
独家 寄存器NHS专业人士(NHSP)是由卫生与社会护理部(DHSC)拥有的私人组织,其任务是为英格兰的国家卫生服务信托提供临时临床和非临床员工。
根据从其网站获得的最新可用数据,它有190,000名医疗保健专业人员,以及为组织本身工作的1,000多名员工。
内部人士向登记册提供了文件,包括德勤(Deloitte)编写的事件响应报告,该报告提供了详细的攻击,详细说明了攻击者如何闯入,偷走了非常有价值的NTDS.DIT文件,并从事进一步的恶意活动。
袭击发生在2024年5月15日,德勤说,其背后的罪犯使用了折磨的Citrix帐户。调查人员无法弄清楚该帐户是如何妥协的。
Deloitte的报告指出,它看不到攻击者如何升级其特权,而是将其直至域管理级别,并通过RDP和SMB共享访问横向跨NHSP的网络移动。
报告表明,犯罪分子随后开始部署包括钴罢工信标在内的恶意软件二进制文件,但是由于系统日志中发现了几个错误,因此调查人员无法确定部署是否成功。
钴罢工一天后,攻击者随后使用WINRM使用域管理员帐户横向移动以访问域控制器,然后“可能通过已建立的Citrix会话删除Active Directory数据库”。
第二天,NHSP聘请了德勤的清理工作人员,以帮助管理补救工作。
散落的蜘蛛的