信息來源:4hou
賽門鐵克發(fā)現(xiàn)了一個之前不為人知的名為Orangeworm的組織�,該組織曾在美國����,歐洲和亞洲的醫(yī)療保健行業(yè)內(nèi)的大型國際公司內(nèi)部安裝了名為Trojan.Kwampirs的定制后門����。
Orangeworm最早出現(xiàn)在2015年1月,他們針對相關行業(yè)的組織進行有針對性的攻擊��,作為更大的供應鏈攻擊的一部分����,以便接觸到其目標受害者。已知的受害者包括醫(yī)療保健提供者�����、制藥公司��、醫(yī)療保健的IT解決方案提供商以及服務于醫(yī)療行業(yè)的設備制造商�����,這可能是企業(yè)間諜活動�。
一、著眼點在于醫(yī)療保健
從受害者的名單中可以看出����,Orangeworm不會隨機選擇目標或進行機會性黑客攻擊�。相反�����,該組織謹慎而有意地選擇了目標����,在發(fā)動攻擊之前做了大量計劃。
圖1. 近40%的Orangeworm受害者處于醫(yī)療行業(yè)內(nèi)
根據(jù)賽門鐵克遙測數(shù)據(jù)��,約40%的Orangeworm受害組織處于醫(yī)療行業(yè)��。Kwampirs惡意軟件被發(fā)現(xiàn)在安裝有用于使用和控制X射線和MRI機器等高科技成像設備軟件的機器上�����。此外��,Orangeworm對幫助患者完成所需流程同意書的機器很感興趣��。而該組織的確切動機尚不清楚�。
圖2.Orangeworm受害人數(shù)最多的是美國
Orangeworm受害人數(shù)最多的是美國�,占感染率的17%�。不過根據(jù)賽門鐵克公司的遙測數(shù)據(jù)�����,Orangeworm在2016年和2017年僅影響了一小部分受害者����,但是由于大型跨國公司的受害者的性質,在多個國家也發(fā)現(xiàn)了感染��。
二����、處于焦點之中的醫(yī)療保健提供商
我們認為,這些行業(yè)被視為更大的供應鏈攻擊的一部分�����,以便Orangeworm能夠訪問與醫(yī)療保健相關的目標受害者���。Orangeworm的次要目標包括制造業(yè)���、信息技術、農(nóng)業(yè)和物流。盡管這些行業(yè)可能看似不相關���,但我們發(fā)現(xiàn)它們與醫(yī)療保健有多重聯(lián)系��,例如生產(chǎn)并直接銷售給醫(yī)療保健公司的醫(yī)療成像設備的大型制造商���,為醫(yī)療診所提供支持服務的IT組織以及提供醫(yī)療保健的物流組織。
三�、Post-compromise行為
一旦Orangeworm滲透到受害者的網(wǎng)絡中,他們就會部署Trojan.Kwampirs���,這是一種后門木馬����,可以讓攻擊者遠程訪問受感染的計算機�����。
在執(zhí)行時�,Kwampirs會從其資源部分解密并提取其主要DLL payload。在將payload寫入磁盤之前��,它會將隨機生成的字符串插入解密的payload中�����,規(guī)避基于Hash的檢測���。
為確保持久性����,Kwampirs使用以下配置創(chuàng)建服務�����,以確保在系統(tǒng)重新啟動時將主payload加載到內(nèi)存中:
后門程序還收集有關受感染計算機的一些基本信息����,包括一些基本的網(wǎng)絡適配器信息、系統(tǒng)版本信息和語言設置�����。
Orangeworm很可能使用這些信息來確定系統(tǒng)是否被研究人員使用����,或者確定受害者是否是高價值目標。一旦Orangeworm對潛在受害者感興趣��,它就繼續(xù)積極地復制開放網(wǎng)絡共享中的后門以感染其他計算機。
它可能會將自己復制到以下隱藏文件共享中:
· ADMIN$
· C$WINDOWS
· D$WINDOWS
· E$WINDOWS
四����、信息收集
攻擊者繼續(xù)收集盡可能多的有關受害者網(wǎng)絡的其他信息,包括最近訪問的計算機���、網(wǎng)絡適配器信息�����、可用的網(wǎng)絡共享����、映射的驅動器以及受感染計算機上的文件的相關信息����。
我們觀察到攻擊者在受害者環(huán)境中執(zhí)行以下命令:
五、不擔心被發(fā)現(xiàn)
Kwampirs使用相當積極的手段在受害者的網(wǎng)絡中傳播��,方法是通過網(wǎng)絡共享復制自己�。盡管這種方法有些老舊,但對于運行Windows XP等較舊操作系統(tǒng)的環(huán)境來說�����,它仍然可行。這種方法在醫(yī)療保健行業(yè)中證明是有效的��,這可能是因為醫(yī)療界在舊平臺上運行合法系統(tǒng)�。而且像Windows XP這樣的老舊系統(tǒng)在這個行業(yè)中可能比較流行����。
此外,一旦受到感染�,惡意軟件會通過嵌入在惡意軟件內(nèi)的大量命令和控制(C&C)服務器循環(huán)。雖然列表看起來很長��,但并非所有C&C都處于活動狀態(tài)��,而且在成功建聯(lián)之前仍會持續(xù)顯示信標����。盡管它試圖修改自身的一小部分,在網(wǎng)絡上進行自我復制以作為逃避檢測的手段�����,但運營者自從第一次啟動以來就沒有改變C&C通信協(xié)議��。
這兩種方法都被認為特別“嘈雜”����,可能Orangeworm不會太擔心被發(fā)現(xiàn)�。自首次被發(fā)現(xiàn)以來����,Kwampirs內(nèi)部的變化很小,這一事實也可能表明先前針對惡意軟件的緩解措施并未成功����,攻擊者已經(jīng)能夠達到其預期目標,盡管防御者已經(jīng)意識到他們存在于其內(nèi)部網(wǎng)絡中���。
六�����、攻擊者沒有國家背景
雖然Orangeworm已經(jīng)活躍了好幾年�����,但我們并不認為該組織具有國家支持的攻擊者的任何特征�,這可能是一個人或一小群人的工作����。目前沒有技術或運營指標來確定該組織的起源���。
IoC
dropper樣本hash
DLL樣本hash
C&C服務器樣本
配置文件名樣本
