Symantec的研究人员发现了一个网络攻击组被称为Dumbord Orangeworm在大型国际组织中部署了被称为特洛伊木马的自定义后门。
目标组织包括医疗保健提供商,制药公司,医疗保健的IT服务提供商,以及服务医疗保健行业的设备制造商。
赛门铁克表示,该集团仔细和故意仔细地选择其目标,仔细培养攻击前进行仔细规划。
研究人员发现了X射线和MRI机器等医疗设备上的KWampirs恶意软件以及用于帮助患者完成所需程序的同意表格的机器。
然而,研究人员发现没有证据表明攻击者正在从设备中复制任何图像,导致他们得出结论,活动的目的可能是网络间谍活动,以了解更多关于机器如何工作的信息。
自2015年1月以来,桔子被认为是活跃的,因为研究人员表示,虽然研究人员说,对与预期的受害者进行了更大的供应链攻击的一部分,对医疗保健相关行业的组织进行了目标袭击。
根据赛门铁克遥测,近40%的橘鱼确认的受害者组织在医疗保健行业运营,其次是制造业,其(每人15%),物流和农业(每人8%)。
这些行业可能看起来不相关,但研究人员表示,他们有多种与医疗保健的联系,例如生产直接向医疗公司提供的医学成像设备,IT组织为医疗诊所提供支持服务的大型制造商,以及提供医疗保健的后勤组织产品。
最多的橘鱼受害者在美国(17%),其次是沙特阿拉伯和印度(每人7%),英国,菲律宾和匈牙利(每项5%),约有20个国家占每次攻击的2% ,而10%的攻击尚未连接到任何特定国家。
一旦橘皮渗透受害者的网络,研究人员表示,该集团部署了Trojan.KWampirs,一个后门特洛伊木马,让攻击者远程访问受到受损的计算机。
执行时,KWAMPIRS解密并提取其主要有效载荷的副本。在将有效载荷写入磁盘之前,它将随机生成的字符串插入到解密的有效载荷中间,以尝试逃避基于哈希的检测。
为了确保持久性,KWAMPIRS创建一个名为WMIAPSRVEX的服务,以确保在系统重新引导时将主要有效载荷加载到内存中。
Backdoor Trojan还收集有关受妥协计算机的基本信息,包括某些基本网络适配器信息,系统版信息和语言设置。
此时,攻击者尽可能多地收集有关受害者网络的其他信息,包括关于最近访问的计算机,网络适配器信息,可用网络共享,映射驱动器和文件上的任何信息。
研究人员表示,Kwampirs使用“相当侵略性”,以在受害者网络中传播一次,通过复制网络股票,增加了虽然这种方法被认为是旧的,但对于运行旧操作系统的环境可能仍然可以是可行的作为Windows XP。
研究人员表示,这种方法在医疗行业内有效地在医疗行业内有效地运行了对专为医学界设计的老平台的遗留系统。
Giovanni Vigna,CTO和普遍的联合创始人表示,保健器件是黑客的诱惑目标,因为它们通常不会像其他组件一样积极地升级和监控,例如台式机和笔记本电脑。
“由于这些设备的操作系统可能控制生命关键系统,因此它是精细调整的并且不会自动更新,”他说。“这种情况使得很容易闯入Offo的操作系统版本,并保持永久侵入平台。”
研究人员还发现,恶意软件循环通过嵌入恶意软件内的大型命令和控制(C&C)服务器列表。虽然列表很广泛,但研究人员表示并非所有的C&CS都是活动的,并继续到灯塔,直到建立成功的连接,导致他们将KWampirs分类为“多态蠕虫”。
研究人员说,尽管在将网络跨越网络的方式修改了自己的方式,但在将网络上复制到逃避检测的方式,但运营商不努力改变C&C通信协议。
研究人员表示,自第一个发现以来,这一事实与KWampirs的内部有关,因为它的第一次发现表明橙色作业没有过于担心被发现的被发现。它还可能表明,针对恶意软件的先前缓解方法已经不成功,并且攻击者尽管有防守者在其网络内的存在,但攻击者已经能够达到预期的目标。
虽然桔子虫已经活跃了至少三年,但研究人员不相信该集团承担了国家赞助的演员的任何标志。他们说,很可能是杀戮或一小群杀戮的工作,指出目前没有技术或运营指标来确定本集团的起源。
赛门铁克表示,它已经努力通知确定的橘鱼活动目标,但研究人员警告说,KWampirs仍然活跃在世界各地,表明该集团仍在进行攻击。
建议组织确保所有安全,应用程序和操作系统软件都是最新的,以减少感染的可能性。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。