黑客組織 Orangeworm 針對全球醫療保健行業發起間諜活動

據外媒報道，賽門鐵克研究人員發現了一個針對全球的醫療機構和相關部門發起間諜活動的黑客組織— Orangeworm，該組織在托管用于控制高科技成像設備的軟件的機器上安裝可疑木馬，例如 X 射線和 MRI 設備以及用于幫助患者完成同意書的機器。 根據賽門鐵克周一發布的一份新報告顯示，Orangeworm 黑客組織自 2015 年初以來就一直活躍，其目標鎖定在美國、歐洲和亞洲的大型跨國公司，主要關注醫療保健行業。賽門鐵克認為，這些行業被視為更大供應鏈攻擊中的一部分，目的是為了讓 Orangeworm 能夠接觸到與醫療保健有關的預期受害者。 除了占據 40％的醫療行業外，黑客的攻擊目標還包括IT（15％），制造業（15％），物流（8％）和農業（8％）等行業。

進入受害者網絡后，攻擊者會安裝一個名為 Kwampirs 的木馬，該木馬在受感染的計算機上打開后門，允許攻擊者遠程訪問設備并竊取敏感數據。 在解密時，Kwampirs 惡意軟件會將一個隨機生成的字符串插入到其主要的 DLL 有效負載中，以逃避基于哈希的檢測。此外，惡意軟件還在受到危害的系統上啟動了一項服務，以便于在系統重新啟動后保留并重新啟動。 隨后，Kwampirs 收集有關受感染計算機的一些基本信息，并將其發送給攻擊者到遠程命令和控制服務器，使用該服務器組能夠確定被黑客攻擊的系統是否被研究人員或高價值目標群體使用。為了收集有關受害者網絡和受感染系統的其他信息，惡意軟件會使用系統的內置命令，而不是使用第三方偵察和枚舉工具。

以上所示的命令列表幫助攻擊者竊取信息，包括“ 與最近訪問的計算機有關的任何信息、網絡適配器信息、可用網絡共享、映射驅動器以及受感染計算機上存在的文件 ”。 雖然 Orangeworm 確切動機尚不清楚，并且也沒有證據表明它是否得到了某些國家的支持，也沒有任何信息可以幫助確定該組織的起源，但賽門鐵克認為該組織可能是出于商業目的而進行間諜活動。 賽門鐵克表示：“根據已知受害者的名單，Orangeworm 不會隨機選擇目標或進行機會性黑客攻擊。“Orangeworm 組織似乎仔細而刻意地選擇了目標，并在發動攻擊之前進行了大量計劃。”