Hydrochasma：新的网络威胁针对亚洲医疗行业

主要收获

根据Symantec研究人员的报导，新的威胁行为者Hydrochasma专门针对亚太地区的医疗实验室及运输公司进行钓鱼攻击，这似乎是一次情报收集行动。到目前为止，该攻击者尚未与任何已知的组织联系起来。

Hydrochasma似乎主要关注涉及COVID-19治疗或疫苗的行业，并仅使用公开可得及依赖现有环境的工具。尽管这些攻击尚未扩展至美国，但由于其新型攻击手法的严重性，当局需要进行预防性的回顾以防止潜在的利用。

这些开源工具中包括两款VPN软体：Dogz 和
SoftEtherVPN。Symantec首次观察到这些工具的存在时，便展开了调查。这些工具如Dogz一样，都是免费开源的，并可用于不同平台。

在此次活动中，攻击者还利用了Gogo扫描工具、Process Dumper以及Cobalt Strike Beacon等工具。同时，他们还使用了名为Gostproxy的隧道工具及Ntlmrelay，这是一种能够“拦截经过验证的身份验证请求以访问网络服务”的攻击手法。

这些工具的使用显示Hydrochasma旨在获得持久并隐秘的访问权限，以便在受害者的网络和设备中提升权限并横向移动。虽然在观察到的活动中未使用某些工具，但它们可能允许远程访问。

攻击者首先通过网络钓鱼电子邮件获得进入网络的机会。感染的初次征兆是一个诱饵文件，其中包含受害者组织的名称（用其本地语言）和恶意电子邮件附件的指标。另一个诱饵则模拟了一份针对公司的工作职位的简历。成功的钓鱼攻击使攻击者能够访问该机器。

在最初的攻击中，攻击者被发现安装了Fast ReverseProxy（FRP），这能将位于NAT或防火墙后的本地服务器暴露于互联网。这一策略导致了一个合法的Microsoft Edge更新，进而传播到连接的设备上。

然而，“这个文件实际上是Meterpreter，一种Metasploit框架中的工具，可用于远程访问。”

尽管一些工具具备数据外泄的能力，此次观察到的攻击并未包括数据外泄的行为。Symantec认为这些攻击旨在进行情报收集。值得注意的是，Hydrochasma在这些攻击中并未使用自定义的恶意软件。

报告中包含了一系列目前的妥协指标，以助于识别和归因。Hydrochasma加入了针对与COVID-19解决方案及相关行业实体的攻击者行