鼎湖影像综合整理

转载须授权

近日，国内一网络犯罪组织把恶意软件伪装成Philips DICOM Viewers（飞利浦DICOM图像浏览器），诱导用户下载安装，对影像科患者数据构成严重威胁！

该信息来自Forescout旗下Veder实验室的最新调查结果！调查结果全文链接：

https://www.forescout.com/blog/healthcare-malware-hunt-part-1-silver-fox-apt-targets-philips-dicom-viewers/

FORESCOUT成立于2000年，是一家专注于物联网（IoT）安全与网络设备自动化管控的网络安全公司，Veder实验室是该公司专注于前沿网络安全威胁研究、漏洞挖掘与防御技术创新的核心部门。

而开头提到的ValleyRAT恶意软件，是由中国黑客组织Silver Fox（银狐，又名Void Arachne） 开发的远程访问木马（RAT）。

Silver Fox（银狐）组织从2024开始活跃，首次被发现是针对中国受害者，通过SEO中毒和社交媒体等各种渠道传播恶意软件，通常伪装成AI应用程序或VPN软件。后来，他们的目标扩大到政府、金融、游戏及医疗等领域。

此次“医学影像数据危机”便来自该组织。

这些样本部署了ValleyRAT，这是一种用于控制受害计算机的后门远程访问工具(RAT )。ValleyRAT会帮助攻击者控制受感染设备，甚至可能允许访问敏感的医院网络。除了后门之外，该恶意软件还安装了键盘记录器来捕获用户输入，并安装了加密货币挖掘器来为攻击者生成数字货币。所有这些组件都设计为在系统上持久存在，确保即使在重新启动后也能继续运行。

值得注意的是，这些样本甚至表现出了进化行为：

12个样本展示了基本的防御规避，使用了单个PowerShell排除命令、简单的进程链和最少的系统实用程序使用。

13个样本引入了多个PowerShell排除命令、更复杂的进程链以及系统实用程序的扩展使用。

3个样本显示出进化，包括额外的排除路径和新的文件系统操作。

2个样本展示了多层PowerShell 命令，反映了先进的规避技术。

最新的恶意软件样本伪装成合法软件，包括MediaViewerLauncher.exeDICOM Viewer和emedhtml.exeEmEditor。此外，一些样本还伪装成系统驱动程序和实用程序，例如x64DrvFx.exe。

此群集中的样本（包括MediaViewerLauncher.exe）充当第一阶段有效负载，可通过多种媒介进行传播。调查报告表示无法明确实际的传播方法，但银狐曾使用SEO投毒和网络钓鱼来传播其恶意软件。

下图说明了该恶意软件的执行流程，从初始感染阶段到最终有效载荷的部署。

注意

没有证据表明飞利浦或飞利浦医疗设备遭到黑客攻击，以分发其DICOM Viewer的恶意版本。参与此活动的黑客以使用网络钓鱼和水坑等技术来分发恶意软件而闻名。过去针对DICOM浏览器（非飞利浦产品）的活动使用了相同的技术。

此次攻击事件利用木马化DICOM图像浏览器作为诱饵，使用后门(ValleyRAT)感染受害者系统以进行远程访问和控制，使用键盘记录器捕获用户活动和凭据，并使用加密挖掘器利用系统资源获取经济利益。

虽然这些DICOM图像浏览器可能直接针对患者而非医院，因为患者经常使用这些应用程序查看自己的影像，隐私泄露风险仍然很大。如果患者将受感染的设备带入医院或者其他地方，这些感染可能会蔓延到单个患者设备之外，从而使黑客有可能在医疗保健网络中获得初步立足点。

为了最大限度地降低风险并防止未经授权的访问，建议实施以下风险缓解措施：

• 避免从不受信任的来源下载软件或文件；

• 禁止将文件从患者设备加载到医疗工作站或其他联网设备上；

• 实施强大的网络分段，将不受信任的设备和网络（例如访客 Wi-Fi）与医院内部基础设施隔离；

• 确保所有端点都受到最新的防病毒或 EDR 解决方案的保护；

• 持续监控所有网络流量和端点遥测以发现可疑活动；

• 搜寻与已知黑客行为相符的恶意活动，确保尽早发现并做出响应。

目前并未找到国内患者遭受银狐此次恶意软件攻击行为的公开信息，但我们也不能掉以轻心！

随着国家逐步推动同级医疗机构检查结果的互认共享，越来越多的医院开始为患者提供除胶片之外的电子DICOM影像文件。信息化技术的发展，使得各种阅片APP和微信小程序等得到广泛应用，患者和家属获得这类DICOM电子影像文件更加便利。

网络上可搜索到各种DICOM图像浏览器

这也给不法分子提供了可乘之机，不论如何，一定要认准官方渠道下载！

看到这

我反手转发文章至科室群

并@信息科

“咱们影像科PACS系统，够安全吧？”