據外媒報導，賽門鐵克研究人員發現了一個針對全球的醫療機構和相關部門發起間諜活動的駭客組織— Orangeworm ，該組織在託管用於控制高科技成像設備的軟件的機器上安裝可疑木馬，例如X射線和MRI設備以及用於幫助患者完成同意書的機器。

根據賽門鐵克週一發佈的一份新報告顯示，Orangeworm駭客組織自2015年初以來就一直活躍，其目標鎖定在美國、歐洲和亞洲的大型跨國公司，主要關注醫療保健行業。賽門鐵克認為，這些行業被視為更大供應鏈攻擊中的一部分，目的是為了讓Orangeworm能够接觸到與醫療保健有關的預期受害者。

除了佔據40%的醫療行業外，駭客的攻擊目標還包括IT（15%），製造業（15%），物流（8%）和農業（8%）等行業。

進入受害者網絡後，攻擊者會安裝一個名為Kwampirs的木馬，該木馬在受感染的電腦上打開後門，允許攻擊者遠端存取設備並竊取敏感數據。

在解密時，Kwampirs惡意軟件會將一個隨機生成的字串插入到其主要的DLL有效負載中，以逃避基於雜湊的檢測。此外，惡意軟件還在受到危害的系統上啟動了一項服務，以便於在系統重新啟動後保留並重新啟動。

隨後，Kwampirs收集有關受感染電腦的一些基本資訊，並將其發送給攻擊者到遠程命令和控制服務器，使用該服務器組能够確定被駭客攻擊的系統是否被研究人員或高價值目標群體使用。為了收集有關受害者網絡和受感染系統的其他資訊，惡意軟件會使用系統的內寘命令，而不是使用協力廠商偵察和枚舉工具。

以上所示的命令清單幫助攻擊者竊取資訊，包括“與最近訪問的電腦有關的任何資訊、網路介面卡資訊、可用網路共用、映射驅動器以及受感染電腦上存在的檔案”。

雖然Orangeworm確切動機尚不清楚，並且也沒有證據表明它是否得到了某些國家的支持，也沒有任何資訊可以幫助確定該組織的起源，但賽門鐵克認為該組織可能是出於商業目的而進行間諜活動。

賽門鐵克表示：“根據已知受害者的名單，Orangeworm不會隨機選擇目標或進行機會性駭客攻擊。“Orangeworm 組織似乎仔細而刻意地選擇了目標，並在發動攻擊之前進行了大量計畫。”

現時在美國發現的受害者比例最高，其次是沙烏地阿拉伯、印度、菲律賓、匈牙利、英國、土耳其、德國、波蘭、中國香港、瑞典、加拿大、法國和全球其他幾個國家和地區。

賽門特克分析報告：

《New Orangeworm attack group targets the healthcare sector in the U.S.，Europe，and Asia》

作者：榆榆

文章來源： 工業互聯網安全應急回應中心