黑客用Tardigrade恶意软件攻击生物制造设施

高级持续性威胁（APT）与今年在名为“Tardigrade”的定制恶意软件加载程序帮助下发生的对两家生物制造公司的网络攻击有关

这是根据生物经济信息共享与分析中心（BIO-ISAC）本周发布的一份咨询报告得出的结论。该报告指出，该恶意软件正在整个行业内积极传播，其目标可能是实施知识产权盗窃，长时间保持持久性，并用勒索软件感染系统。

BIO-ISAC, which commenced an investigation following a ransomware attack targeting an unnamed biomanufacturing facility earlier this spring, characterized Tardigrade as a sophisticated piece of malware with "a high degree of autonomy as well as metamorphic capabilities." The same malware was then used to strike a second entity in October 2021.

“积极传播”的入侵行为并没有被归因于某个特定的威胁行为体或某个国家，但该机构告诉希尔，这些努力反映了一个与俄罗斯有关的黑客组织之前的攻击。

Tardigrade通过网络钓鱼电子邮件或受感染的USB驱动器传播，是SmokeLoader的高级分支。SmokeLoader是一个基于Windows的后门，由一个名为Smoky Spider的组织运营，可在地下市场上出售，可追溯到2011年，前者拥有捕捉击键的能力，在受损网络中横向移动，并提升权限。

更重要的是，该恶意软件充当额外恶意软件有效载荷的入口点，并被设计为在与其命令和控制服务器断开以执行其恶意活动时自动运行。建议生物制造业的组织应用软件更新、实施网络分割，并测试关键生物基础设施的离线备份，以减轻威胁。

研究人员说：“由于变质行为，这种恶意软件极难检测。对关键人员和公司计算机保持警惕非常重要。”他们补充说，“该行业的许多机器使用过时的操作系统。积极地将它们分割开来，加快升级时间。”