黑客组织 Orangeworm 针对全球医疗保健行业发起间谍活动
责任编辑:盈高科技 时间:2018-05-03 浏览次数:5666
据外媒报道,研究人员发现了一个针对全球的医疗机构和相关部门发起间谍活动的黑客组织— Orangeworm,该组织在托管用于控制高科技成像设备的软件的机器上安装可疑木马,例如X射线和MRI设备以及用于帮助患者完成同意书的机器。
Orangeworm黑客组织自2015年初以来就一直活跃,其目标锁定在美国、欧洲和亚洲的大型跨国公司,主要关注医疗保健行业。这些行业被视为更大供应链攻击中的一部分,目的是为了让Orangeworm能够接触到与医疗保健有关的预期受害者。
经证实的40%的受害企业属于医疗保健行业,其余目标即使不直接参与医疗卫生行业,亦与该行业存在着千丝万缕的联系,Orangeworm曾经感染多家物流、农业、制造以及IT服务企业的网络,而其中绝大多数公司负责为医疗卫生机构提供服务。
进入受害者网络后,攻击者会安装一个名为Kwampirs的木马,该木马在受感染的计算机上打开后门,允许攻击者远程访问设备并窃取敏感数据。在解密时,Kwampirs恶意软件会将一个随机生成的字符串插入到其主要的DLL有效负载中,以逃避基于哈希的检测。此外,恶意软件还在受到危害的系统上启动了一项服务,以便于在系统重新启动后保留并重新启动。
随后,Kwampirs收集有关受感染计算机的一些基本信息,并将其发送给攻击者到远程命令和控制服务器,使用该服务器组能够确定被黑客攻击的系统是否被研究人员或高价值目标群体使用。为了收集有关受害者网络和受感染系统的其他信息,恶意软件会使用系统的内置命令,而不是使用第三方侦察和枚举工具。
以上所示的命令列表帮助攻击者窃取信息,包括“ 与最近访问的计算机有关的任何信息、网络适配器信息、可用网络共享、映射驱动器以及受感染计算机上存在的文件 ”。虽然Orangeworm确切动机尚不清楚,但该组织可能是出于商业目的而进行间谍活动。
调查人员们认为,Orangeworm黑客组织的攻击对象主要为大多数医疗卫生机构中使用的陈旧计算机,其中大部分很少更新、通常未使用反病毒软件,因此极易遭遇黑客入侵。被攻击的企业及机构分布在全球数十个国家,包括沙特阿拉伯、印度、菲律宾、匈牙利、英国、土耳其、德国、波兰、中国、瑞典、加拿大、法国等,其中美国(17%)为重灾区。(以上资讯来自互联网)