2025-11-13 19:29:51
Zeon威胁组通过伪装成软件解决方案,专门针对医疗行业,利用医疗工作者的信任,并从安全漏洞中获利。根据一份最近发给HealthISAC成员的警报,这些攻击自10月19日开始,首次发送至35000个地址,而在10月20日和21日又达到了480000个地址。9月26日的另一份警报则警告称,Roy/Zeon威胁组伪装成HealthISAC的一名成员,通过虚假发票误导受害者拨打恶意呼叫中心。
“坏家伙们的创新和创造力在不断增强,”HealthISAC的首席安全官Errol Weiss在接受SC Media专访时表示。Zeon的新一轮攻击运动已经“变得非常糟糕,没有恶意链接,也没有恶意附件;所有内容都是纯文本,他们能够构建出让人恐惧的内容,使人们做出平时不会做的事情。”
简而言之,这种策略是“社交工程的巅峰;心理战”,他补充道,但并未具体透露用于这些攻击的供应商。“他们让人们处于极其脆弱的心理状态,导致他们做出愚蠢的决策。”
Zeon集团正积极针对医疗行业,成为解散Conti后兴起的三个新威胁组织之一。三者均创建了自己的BazarCall网络钓鱼攻击版本,这是一种有针对性的回拨钓鱼策略,恶意演员用虚假的订阅服务诱骗受害者。
根据新泽西网络安全与通信警报的报道,这些电话实际上是“被操作者用来悄悄安装恶意软件并在获得访问权限后窃取数据”。
当员工拨打这个电话号码时,他们被引导着安装“合法的远程访问工具,之后坏人便能够进入你的计算机,”Weiss解释道。
到6月,Zeon开始伪装为多种品牌,针对保险、科技等多个行业,但未专门针对医疗行业。该组织很快再次转变,开始伪装成“提供关注患者数据的合法医疗组织的软件解决方案”,此消息来自HealthISAC的成员警报。
免费苹果加速器“首次识别出的伪装为合法医疗软件的攻击发生在9月底,”HealthISAC警告道。这些攻击活动证明了其有效性,并推动了对医疗行业的持续目标。
具体来说,该组织开始与目标机构的员工联系,并通过Zoho远程访问工具获得了未经授权的访问权限。第二天,先进的情报确认了10月21日的Zeon攻击活动,当时该组织开始利用两个微软Exchange远程代码执行漏洞CVE202241040和CVE202241082。
Zeon组依赖于第三方提供的知名品牌和医疗保险公司,Weiss强调,Zeon使用的模板非常具有创意,结合了多种关键词,以“混合内容并规避垃圾邮件检测过滤器”。因此发送的数万条消息都是不同的,但其恶意企图却是一致的。
“Roy/Zeon的攻击体现在武器化ZoHo、Anydesk、Cobalt Strike或RMM软件上。这需要与被感染网络的C2进行持续通信。跟踪异常信号可以帮助识别信标,”根据警报内容。
考虑到医疗行业的员工数量庞大,其面临的风险很高。Weiss指出,临时和合同工在进来后可能没有得到适当的培训和安全意识,这样的
蘑菇官方平台,致力于提供全球快速连接服务,实现一键畅享网络。无论身处何地,轻松解决网络缓慢难题,提升在线体验,带来无与伦比的速度和便捷。
