新的Orangeworm攻擊組織瞄準了醫療行業

新聞 04-29

賽門鐵克發現了一個之前不為人知的名為Orangeworm的組織，該組織曾在美國，歐洲和亞洲的醫療保健行業內的大型國際公司內部安裝了名為Trojan.Kwampirs的定製後門。

Orangeworm最早出現在2015年1月，他們針對相關行業的組織進行有針對性的攻擊，作為更大的供應鏈攻擊的一部分，以便接觸到其目標受害者。已知的受害者包括醫療保健提供者、製藥公司、醫療保健的IT解決方案提供商以及服務於醫療行業的設備製造商，這可能是企業間諜活動。

一、著眼點在於醫療保健

從受害者的名單中可以看出，Orangeworm不會隨機選擇目標或進行機會性黑客攻擊。相反，該組織謹慎而有意地選擇了目標，在發動攻擊之前做了大量計劃。

圖1. 近40％的Orangeworm受害者處於醫療行業內

根據賽門鐵克遙測數據，約40％的Orangeworm受害組織處於醫療行業。Kwampirs惡意軟體被發現在安裝有用於使用和控制X射線和MRI機器等高科技成像設備軟體的機器上。此外，Orangeworm對幫助患者完成所需流程同意書的機器很感興趣。而該組織的確切動機尚不清楚。

圖2.Orangeworm受害人數最多的是美國

Orangeworm受害人數最多的是美國，占感染率的17％。不過根據賽門鐵克公司的遙測數據，Orangeworm在2016年和2017年僅影響了一小部分受害者，但是由於大型跨國公司的受害者的性質，在多個國家也發現了感染。

二、處於焦點之中的醫療保健提供商

我們認為，這些行業被視為更大的供應鏈攻擊的一部分，以便Orangeworm能夠訪問與醫療保健相關的目標受害者。Orangeworm的次要目標包括製造業、信息技術、農業和物流。儘管這些行業可能看似不相關，但我們發現它們與醫療保健有多重聯繫，例如生產並直接銷售給醫療保健公司的醫療成像設備的大型製造商，為醫療診所提供支持服務的IT組織以及提供醫療保健的物流組織。

三、Post-compromise行為

一旦Orangeworm滲透到受害者的網路中，他們就會部署Trojan.Kwampirs，這是一種後門木馬，可以讓攻擊者遠程訪問受感染的計算機。

在執行時，Kwampirs會從其資源部分解密並提取其主要DLL payload。在將payload寫入磁碟之前，它會將隨機生成的字元串插入解密的payload中，規避基於Hash的檢測。

為確保持久性，Kwampirs使用以下配置創建服務，以確保在系統重新啟動時將主payload載入到內存中：

後門程序還收集有關受感染計算機的一些基本信息，包括一些基本的網路適配器信息、系統版本信息和語言設置。

Orangeworm很可能使用這些信息來確定系統是否被研究人員使用，或者確定受害者是否是高價值目標。一旦Orangeworm對潛在受害者感興趣，它就繼續積極地複製開放網路共享中的後門以感染其他計算機。

它可能會將自己複製到以下隱藏文件共享中：

·ADMIN$

·C$WINDOWS

·D$WINDOWS

·E$WINDOWS

四、信息收集

攻擊者繼續收集儘可能多的有關受害者網路的其他信息，包括最近訪問的計算機、網路適配器信息、可用的網路共享、映射的驅動器以及受感染計算機上的文件的相關信息。

我們觀察到攻擊者在受害者環境中執行以下命令：

五、不擔心被發現

Kwampirs使用相當積極的手段在受害者的網路中傳播，方法是通過網路共享複製自己。儘管這種方法有些老舊，但對於運行Windows XP等較舊操作系統的環境來說，它仍然可行。這種方法在醫療保健行業中證明是有效的，這可能是因為醫療界在舊平台上運行合法系統。而且像Windows XP這樣的老舊系統在這個行業中可能比較流行。

此外，一旦受到感染，惡意軟體會通過嵌入在惡意軟體內的大量命令和控制（C＆C）伺服器循環。雖然列表看起來很長，但並非所有C＆C都處於活動狀態，而且在成功建聯之前仍會持續顯示信標。儘管它試圖修改自身的一小部分，在網路上進行自我複製以作為逃避檢測的手段，但運營者自從第一次啟動以來就沒有改變C＆C通信協議。

這兩種方法都被認為特別「嘈雜」，可能Orangeworm不會太擔心被發現。自首次被發現以來，Kwampirs內部的變化很小，這一事實也可能表明先前針對惡意軟體的緩解措施並未成功，攻擊者已經能夠達到其預期目標，儘管防禦者已經意識到他們存在於其內部網路中。

六、攻擊者沒有國家背景

雖然Orangeworm已經活躍了好幾年，但我們並不認為該組織具有國家支持的攻擊者的任何特徵，這可能是一個人或一小群人的工作。目前沒有技術或運營指標來確定該組織的起源。

IoC

dropper樣本hash