APT41对医疗行业的持续威胁

关键要点

美国健康与人类服务部（HHS）发出了警告，提醒医疗行业关注来自中国国有的APT41组织的持续威胁。该组织自2012年开始活跃，研究人员持续对其进行监测。

APT41历史上曾针对医疗行业、制药及高科技产业等多个领域进行攻击。

该组织常利用网络钓鱼 、水坑攻击 、供应链攻击 以及后门
等手段进入网络，获取特定行业的信息，以准备未来的攻击。有证据显示，该组织还使用了键盘记录、SQL数据库查询、代码注入、文件下载和剪贴板数据窃取等技术。

为了建立立足点，APT41利用各种公开和私有恶意软件
，通过定制工具提高权限，盗取凭证。一旦获得凭证，这些攻击者会进行内部侦查，然后通过盗取的凭证、弱RDP、添加管理员组和暴力破解工具等方式横向移动。

通过依赖后门，该组织能够在受害者的网络中维持其存在，并且已知会创建RAR档案进行数据外泄和证据删除。

尽管2019和2020年期间，多个组织成员被起诉，但APT41的活动似乎并未因此放缓，去年其依然高度活跃。

尤其是在2020年疫情高峰期间，医疗行业面临了来自国内外威胁行动者的前所未有的复杂攻击。彼时，美国国会
曾要求网络安全和基础设施安全局（CISA）制定指导方针，以支持HHS，并指出APT41是最大攻击活动的主要责任者。

该活动针对流行的网络设备、云软件和IT管理工具中的漏洞，因应对COVID-19的过度依赖这些技术。该“中国间谍活动
”不仅针对非营利性医疗和制药公司，还包括其他应对疫情的组织。

当时致CISA的信中警告称，APT41的活动反映了中国组织的更广泛升级。

到了2021年，APT41在其攻击策略中增加了新战术，在面向私营部门和政府实体的四场不同活动中展开。具体而言，该组织开始使用SQL注入作为初始攻击向量，并以小部分上传CobaltStrike信标。去年，确认APT41攻击的组织数量达到13个。

在2014至2019年期间，该组织针对医疗行业发起的之前攻击，涉及IT和医疗设备软件、医学设备信息、一家生物技术公司，以及一家癌症研究机构。2020年，他们的攻击手段主要针对Citrix、Cisco和Zoho设备，共计超过75个客户受到了攻击。

最近的攻击则利用了统一可扩展固件接口
（UEFI）固件植入，这是“在野外发现的最先进植入物”。它被安置在SPI闪存主板内存上，以通过高度复杂的方法部署其他恶意软件。

APT41还成功利用了基于Web的动物健康报告诊断系统 （USAHERDS）应用程序，通过该应用程序的零日漏洞 和Log4j攻击
进行入侵。该应用旨在收集和管理动物健康与疾病数据，从而影响动物种群的健康状况。

在2021年5月至2022年2月期间，针对USAHERDS应用程序进行了两次零日攻击。警报指出，”一个CVE是通过使用MachineKey访问的，另一个来自Log4Shell”。调查仍在进行中，但至少已有6个美国州政府遭到入侵，预计还有更多未知的受害者。

HC3白皮书中包含了APT41使用的详细战术和流行工具，包括安全领导者可以查看的Mitre ID。鉴于该组织高成功率和长期存在的特征，这些见解