黑客集团背后发现SingHealth数据泄露事件 主要针对新加坡公司

破坏了150万名SingHealth病人数据的黑客已经被确定为对新加坡的几家企业发起攻击的团体，包括在该州开展业务的跨国公司。根据赛门铁克的一份报告，该组织被称为Whitefly，已经袭击了医疗保健，媒体，电信和工程领域的组织，很可能成为针对其他国家的大型业务的一部分。

该网络安全供应商表示，它已开始调查自2018年7月以来的SingHealth攻击，并在调查过程中确定一个以前不为人知的组织负责并且还发动了其他攻击。该集团至少在2017年开始运营，主要针对新加坡各个行业的组织，主要集中在窃取大量敏感数据。

当被问及该集团为何关注新加坡时，赛门铁克安全响应部门的研究员Dick O'Brien告诉ZDNet，其赞助商可能还有其他团队针对其他国家和地区，而且Whitefly可能是更广泛的情报搜集行动的一部分。该区域。通过使用类似的攻击工具与其他地区的攻击相关联，这可能就是这种情况。

O'Brien未能透露受该组织攻击影响的组织数量，并补充说该供应商的研究仍在进行中。

不过，他的确表示，Whitefly使用的攻击工具也被用来对在东南亚和俄罗斯运营的国防，电信和能源领域的公司发起攻击。然而，Whitefly的参与目前只能在新加坡发生的袭击事件中得到证实。

新加坡政府在1月份透露，它能够识别负责SingHealth攻击的黑客，并采取了适当的行动，但不会出于“国家安全原因”透露这些肇事者的身份，并且“不符合我们的利益”公开归属“。

ZDNet向网络安全局(CSA)发出了几个问题，这是一个负责监督新加坡网络安全运营的政府机构，其中包括Whitefly是否是它在1月份提到的黑客组织，以及政府是否与任何组织合作识别SingHealth黑客。

CSA发言人没有直接回答这些问题，但回答了这一说法：“网络安全公司定期根据自己的情报和研究报告为各利益相关方提供此类报告。由于这是商业实体的独立调查报告，我们有没有评论其内容。“

当被问及时，赛门铁克证实已与CSA分享了调查结果。

黑客组织旨在坚持隐身模式

周三晚些时候发布的赛门铁克报告显示，Whitefly使用自定义恶意软件和开源黑客工具以及恶意PowerShell脚本等陆地策略来破坏其目标。

具体来说，该组试图使用一个恶意“.exe”或“.dll”文件形式的dropper感染其目标，该文件伪装成文档或图像，并可能通过鱼叉式网络钓鱼邮件发送。如果打开，滴管在计算机上运行称为Trojan.Vcrodat的加载程序。

O'Brien指出：“Vcrodat使用一种称为搜索顺序劫持的技术。简而言之，这种技术使用的事实是，如果没有提供路径，Windows将以预定义的顺序在计算机上的特定位置搜索DLL。因此，可以为恶意DLL提供与合法DLL相同的名称，但是将其置于搜索顺序中的合法版本之前，以便在Windows搜索时加载它。

当被问及为什么Windows无法区分恶意DLL和合法DLL时，他解释说，如果没有提供路径，Windows只会执行搜索。所以问题在于软件开发人员是否指定了DLL路径。“供应商通常会修补他们的软件，如果他们找到未指定的路径，但这可能无法阻止攻击者使用该技术，因为他们可以删除未修补的版本并使用它来加载恶意DLL，”他说。

赛门铁克还指出，Whitefly通常旨在在目标网络中保持未被发现，通常持续数月，目的是窃取大量数据。它将通过部署几个工具来实现，例如开源黑客工具Termite，这有助于其黑客与受感染计算机之间的通信。

O'Brien补充说：“例如，如果他们使用以前看不见的工具，那么在识别和标记这些工具之前可能无法检测到任何入侵。我们还观察到Whitefly竭尽全力窃取凭据，例如用户名和密码来自有针对性的组织，使他们更容易在网络上保持长期存在。“

根据赛门铁克的说法，SingHealth漏洞不太可能是一次性攻击，而是对该地区组织的一系列攻击的一部分。

“Whitefly是一个非常熟练的团队，拥有庞大的工具库，能够渗透到目标组织并保持其网络的长期存在，”它说。