【安全资讯】医疗行业遭受攻击：HeptaX活动窃取和操控敏感数据

概要：

近期，Cyble Research and Intelligence Labs（CRIL）揭露了一项名为“HeptaX”的隐秘网络间谍活动，该活动利用远程桌面协议（RDP）设置，未经授权访问目标系统。此事件对医疗行业构成了严重威胁，攻击者通过复杂的多阶段攻击策略，监控、窃取和操控敏感数据，给用户和企业带来了巨大的损失。

主要内容：

HeptaX活动通常始于一封包含恶意.lnk快捷方式文件的钓鱼邮件，该文件被隐藏在ZIP压缩包中。一旦执行，该.lnk文件触发PowerShell命令，从远程服务器下载额外的有效载荷。CRIL指出，这些脚本协同工作，创建新的管理员用户账户并修改RDP设置，从而有效绕过安全措施，攻击者因此能够无缝访问受害者的系统。

在攻击的后期阶段，PowerShell脚本创建了一个名为“BootUEFI”的隐藏用户账户，赋予其管理员和远程桌面权限。此账户在登录界面上不可见，确保受害者对未经授权的用户毫无察觉。CRIL描述道，这一批处理文件调整了终端服务（远程桌面）设置，以便于更轻松的远程连接，而不需要严格的身份验证要求。

这种持久的设置使得攻击者能够持续访问被感染的机器，监控系统活动、提取敏感信息，并在不引起警觉的情况下安装更多恶意软件。CRIL还发现攻击者基础设施中存在一个名为ChromePass的恶意应用，专门针对基于Chromium的浏览器中保存的密码，进一步增加了风险。通过收集浏览器存储的凭据，HeptaX能够轻松渗透受害者可能访问的其他系统和网络，扩大其间谍活动的潜在影响。CRIL强调，这种战术组合突显了增强检测和预防措施的必要性，以有效应对这些隐秘的网络威胁。