Kwampirs组织继续对跨国医疗机构进行攻击

联邦调查局警告说,在这次危机时期,Kwampirs(又名Orangeworm)攻击组织继续以全球医疗机构为目标。

坎皮尔

“实体对象的范围从主要的跨国医疗保健公司,以当地医院组织的”局指出

FBI评估Kwampirs参与者通过供应商软件供应链和硬件产品进入了许多全球医院。受到感染的软件供应链供应商包括用于管理医院工业控制系统(ICS)资产的产品。”

坎皮尔

这是FBI私人行业自今年年初以来的第三次通知,涉及该组织的活动及其使用的模块化Kwampirs RAT。

根据警报:

  • 攻击组首先在目标网络上建立广泛而持久的存在,然后交付并执行Kwampir RAT和其他恶意负载
  • Kwampirs演员成功地并在受害者网络上持续存在了三个月至36个月
  • Kwampir RAT是模块化的,根据目标,可以放置不同的模块。但似乎威胁者的主要目标是网络间谍活动
  • 重要的入侵媒介包括:合并和收购期间公司网络之间的横向移动;在软件共同开发过程中,恶意软件通过共享资源和面向Internet的资源在实体之间传递;以及软件供应链供应商在客户/企业局域网或客户/企业云基础架构上安装了受感染的设备。

“ Kwampirs的活动参与者已经瞄准了成像行业的公司,其中包括网络扫描仪和复印机类型的设备,并可以访问客户网络。FBI评估了这些成像供应商的目标是获得对客户网络的访问,包括远程或云管理访问,这可能允许受害网络内的横向CNE移动。”

虽然Kwampirs / Orangeworm威胁行为者被认为是APT(高级持久威胁),但目前尚不清楚它们是否受国家支持。

众所周知,他们不追求PII,支付卡数据,也不希望破坏或加密赎金数据,尽管据FBI称,Kwampirs RAT与Shamoon /之间存在基于代码的相似之处分散刮水器恶意软件。

该组织还没有将其目标定位于医疗保健和软件供应链组织。在较小程度上,他们追随美国,欧洲,亚洲和中东的能源和工程行业的公司,金融机构和著名的律师事务所。

防御和感染后补救

该通知提供了在感染之前将网络安全和防御措施纳入最佳实践,建议采取感染后的措施,并识别残留的Kwampirs RAT主机工件,这些工件可以帮助公司确定它们是否是受害者。

单独的文档中提供了用于识别Kwampirs恶意软件的危害指标YARA规则

SANS ISC处理程序(以及SANS技术研究所Twitter的研究主任)Johannes Ullrich指出,Kwampirs可能会进入受信任的供应商进行软件更新而未被检测到的组织网络。

“反恶意软件解决方案将检测到以前的版本。但不要对反恶意软件寄予过多信任,以检测可能针对您的组织定制的下一个版本。”他补充说,并为编写抽象的检测签名提供了有用的建议,这些签名可能派上用场。

虽然最近没有更新,但Kwampirs恶意软件的MITER ATT&CK条目也可能会有所帮助。有关该恶意软件的更多技术细节,您可能需要查看ReversingLabs的最新分析

0 0 vote
Article Rating

未经允许不得转载:x-sec » Kwampirs组织继续对跨国医疗机构进行攻击

赞 (1) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x