Tardigrade以勒索病毒的形式针对生物医药行业进行APT攻击

最近的安全研究发现，一个名为 Tardigrade 的APT（高级持续威胁）攻击通过自定义恶意软件加载程序，向2家生物制造公司进行网络攻击。

根据本周生物经济信息共享和分析中心 (BIO-ISAC) 发布的一份咨询报告指出，该恶意软件正在整个行业快速传播，其可能的目标是窃取知识产权，并长时间保持持久性，用勒索软件感染系统。

BIO-ISAC针对一家生物制造设施的勒索软件攻击事件展开调查，将 Tardigrade 描述为一种复杂的恶意软件，具有高度的自主性和变形能力。2021 年 10 月，同样的恶意软件攻击了第二个生物科技公司。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，Tardigrade 通过网络钓鱼电子邮件或受感染的 USB 驱动器传播，是SmokeLoader的高级分支。SmokeLoader是一种基于 Windows 的后门程序，由 Smoky Spider 组织运营，可追溯到 2011 年在地下市场上出售，其拥有捕获击键、在受感染的网络中横向移动并提升权限等强大功能。

更重要的是，该恶意软件充当其他恶意软件有效载荷的入口，即使切断其C2命令和控制服务器，其恶意活动也能自主运行。建议生物医药行业的公司尽快升级应用软件，并对生物基础设施进行离线备份，以降低可能的安全威胁。