信息来源：4hou

赛门铁克发现了一个之前不为人知的名为Orangeworm的组织，该组织曾在美国，欧洲和亚洲的医疗保健行业内的大型国际公司内部安装了名为Trojan.Kwampirs的定制后门。

Orangeworm最早出现在2015年1月，他们针对相关行业的组织进行有针对性的攻击，作为更大的供应链攻击的一部分，以便接触到其目标受害者。已知的受害者包括医疗保健提供者、制药公司、医疗保健的IT解决方案提供商以及服务于医疗行业的设备制造商，这可能是企业间谍活动。

一、着眼点在于医疗保健

从受害者的名单中可以看出，Orangeworm不会随机选择目标或进行机会性黑客攻击。相反，该组织谨慎而有意地选择了目标，在发动攻击之前做了大量计划。

图1. 近40％的Orangeworm受害者处于医疗行业内

根据赛门铁克遥测数据，约40％的Orangeworm受害组织处于医疗行业。Kwampirs恶意软件被发现在安装有用于使用和控制X射线和MRI机器等高科技成像设备软件的机器上。此外，Orangeworm对帮助患者完成所需流程同意书的机器很感兴趣。而该组织的确切动机尚不清楚。

图2.Orangeworm受害人数最多的是美国

Orangeworm受害人数最多的是美国，占感染率的17％。不过根据赛门铁克公司的遥测数据，Orangeworm在2016年和2017年仅影响了一小部分受害者，但是由于大型跨国公司的受害者的性质，在多个国家也发现了感染。

二、处于焦点之中的医疗保健提供商

我们认为，这些行业被视为更大的供应链攻击的一部分，以便Orangeworm能够访问与医疗保健相关的目标受害者。Orangeworm的次要目标包括制造业、信息技术、农业和物流。尽管这些行业可能看似不相关，但我们发现它们与医疗保健有多重联系，例如生产并直接销售给医疗保健公司的医疗成像设备的大型制造商，为医疗诊所提供支持服务的IT组织以及提供医疗保健的物流组织。

三、Post-compromise行为

一旦Orangeworm渗透到受害者的网络中，他们就会部署Trojan.Kwampirs，这是一种后门木马，可以让攻击者远程访问受感染的计算机。

在执行时，Kwampirs会从其资源部分解密并提取其主要DLL payload。在将payload写入磁盘之前，它会将随机生成的字符串插入解密的payload中，规避基于Hash的检测。

为确保持久性，Kwampirs使用以下配置创建服务，以确保在系统重新启动时将主payload加载到内存中：

后门程序还收集有关受感染计算机的一些基本信息，包括一些基本的网络适配器信息、系统版本信息和语言设置。

Orangeworm很可能使用这些信息来确定系统是否被研究人员使用，或者确定受害者是否是高价值目标。一旦Orangeworm对潜在受害者感兴趣，它就继续积极地复制开放网络共享中的后门以感染其他计算机。

它可能会将自己复制到以下隐藏文件共享中：

· ADMIN$

· C$WINDOWS

· D$WINDOWS 

· E$WINDOWS

四、信息收集

攻击者继续收集尽可能多的有关受害者网络的其他信息，包括最近访问的计算机、网络适配器信息、可用的网络共享、映射的驱动器以及受感染计算机上的文件的相关信息。

我们观察到攻击者在受害者环境中执行以下命令：

五、不担心被发现

Kwampirs使用相当积极的手段在受害者的网络中传播，方法是通过网络共享复制自己。尽管这种方法有些老旧，但对于运行Windows XP等较旧操作系统的环境来说，它仍然可行。这种方法在医疗保健行业中证明是有效的，这可能是因为医疗界在旧平台上运行合法系统。而且像Windows XP这样的老旧系统在这个行业中可能比较流行。

此外，一旦受到感染，恶意软件会通过嵌入在恶意软件内的大量命令和控制（C＆C）服务器循环。虽然列表看起来很长，但并非所有C＆C都处于活动状态，而且在成功建联之前仍会持续显示信标。尽管它试图修改自身的一小部分，在网络上进行自我复制以作为逃避检测的手段，但运营者自从第一次启动以来就没有改变C＆C通信协议。

这两种方法都被认为特别“嘈杂”，可能Orangeworm不会太担心被发现。自首次被发现以来，Kwampirs内部的变化很小，这一事实也可能表明先前针对恶意软件的缓解措施并未成功，攻击者已经能够达到其预期目标，尽管防御者已经意识到他们存在于其内部网络中。

六、攻击者没有国家背景

虽然Orangeworm已经活跃了好几年，但我们并不认为该组织具有国家支持的攻击者的任何特征，这可能是一个人或一小群人的工作。目前没有技术或运营指标来确定该组织的起源。

IoC

dropper样本hash

DLL样本hash

C&C服务器样本

配置文件名样本