医疗机构遭受黑客攻击，ScreenConnect成攻击工具

关键要点

美国多家医疗机构正受到针对药房供应链管理系统的攻击。黑客通过Transaction Data Systems的ScreenConnect远程访问工具进行入侵。从10月28日至11月8日，两家卫生组织的Windows Server 2019系统中发现了ScreenConnect的利用案例。通过ScreenConnect获得的初始访问权限，黑客进一步部署恶意程序、进行文件传输和命令执行。

据BleepingComputer的报道，美国多家医疗机构正在遭受可能持续的网络攻击，这些攻击利用了药房供应链和管理系统提供商Transaction Data Systems的ScreenConnect远程访问工具的实例。根据Huntress的报告，从10月28日至11月8日，黑客在两家健康组织的Windows Server 2019系统中观察到了对ScreenConnect的滥用。

通过滥用ScreenConnect获得的初步访问权限，黑客能够部署进一步的恶意负载、进行文件传输、执行命令并安装AnyDesk，同时通过创建新用户账户实现设备持久性。除了分发testxml负载以隐秘地加载Meterpreter负载外，攻击者还利用了打印后台处理程序服务来执行其他进程。目前尚未透露Transaction Data Systems是否遭到入侵，或其账户凭据是否被盗取的更多细节。

能上推特的加速器事件影响网络攻击针对美国医疗机构工具ScreenConnect远程访问工具时间段2023年10月28日至11月8日后果部署恶意程序和设备持久性

安全提示 建议医疗机构加强网络安全措施，定期检查远程访问工具的配置与安全性，以防止潜在的网络攻击。