Orangeworm colpisce il settore sanitario negli Stati Uniti, in Europa e in Asia

24/04/2018

malware orangeworm
Il gruppo soprannominato Orangeworm è stato notato distribuire una variante della backdoor “Kwampirs” in una campagna di attacco specifica contro grandi società internazionali del settore sanitario ubicate negli Stati Uniti, in Europa e in Asia.
 
Le prime avvisaglie di attacco da parte di questo nuovo gruppo risalgono al gennaio 2015. Orangeworm pare colpire anche obiettivi secondari operanti nel settore manifatturiero, tecnologico, agricolo e logistico in qualche modo collegati alle vittime prescelte ovvero aziende di operatori sanitari, di prodotti farmaceutici o di apparecchiature sanitarie. Le finalità del gruppo sono probabilmente legate allo spionaggio industriale.
 
Gli attori dietro a Orangeworm non selezionano a caso i bersagli ma scelgono gli obiettivi con attenzione conducendo attività di ricognizione e preparatorie prima di sferrare un attacco. Secondo le analisi di Symantec sulla telemetria quasi il 40% delle organizzazioni colpite operano nel settore sanitario e di queste il maggior numero si trova negli Stati Uniti con un tasso di infezione pari al 17%:
 
 
Nonostante nel 2016 e 2017 Orangeworm abbia colpito solo limitatamente si notano infezioni in diversi paesi. La causa di una diffusione geografica così varia potrebbe dipendere della natura delle vittime operanti, direttamente o meno, per grandi società internazionali attive a livello mondiale.
 
Metodo di infezione e funzionalità del malware
Una volta che il gruppo Orangeworm riesce ad infiltrarsi nella rete di un bersaglio, viene installato e distribuito il malware “Kwampirs”, un Trojan backdoor con funzionalità di accesso remoto. Il malware si diffonde decifrando ed estraendo, sotto forma di DLL, una copia di se stesso. Prima di replicarsi su disco cerca di eludere i rilevamenti basati su hash inserendo una stringa casuale nel payload decrittografato. Per garantire la persistenza, Kwampirs crea un servizio “WmiApSrvEx” associato ad un binario  posizionato nel percorso “%Windows%System32nomefile.dll“, così da assicurarsi che venga caricato in memoria al riavvio del sistema. La backdoor raccoglie informazioni di base sul computer compromesso, probabilmente con l’intento di determinare se la vittima o la società ha un profilo di interesse per l’attacco. Se è questo il caso, gli aggressori tentano di raccogliere quante più informazioni possibile utilizzando comandi di sistema come systeminfo, arp, route print, getmac, ipconfig, netstat, tsklist, netshare, net user, net use, net view ed altri.
Il malware tenta di copiare la backdoor nelle condivisioni di rete aperte oltre che nelle condivisioni amministrative.
La tecnica utilizzata dal malware per propagarsi è relativamente obsoleta e tendenzialmente rivolta a sistemi datati come Windows XP. La presenza ad oggi di tali sistemi nel settore sanitario giustificherebbe la scelta di utilizzare delle condivisioni di rete ed amministrative per diffondere KwampirsDalle analisi effettuate il malware passa in rassegna un’ampia lista di server di comando e controllo (C&C) preventivamente dichiarati nel codice malevolo. Kwampirs prova a contattare i server della lista fino a quando non viene stabilita una connessione.
 
Dall’utilizzo di questi metodi poco raffinati, in quanto considerati particolarmente “rumorosi”, si desume che il gruppo Orangeworm non si preoccupi particolarmente di celare le proprie attività.
 
Considerata la possibile diffusione della minaccia anche nel contesto europeo, con plausibile coinvolgimento di aziende ed enti del comparto sanitario o dell’indotto industriale, si forniscono gli indicatori di compromissione in particolare hash MD5 di dropper e payload e indirizzi IP dei C&C, associati alla minaccia. I dati sono derivati dall’estrazione dalla raccolta pubblicata dal noto produttore antivirus:
 
IoC (.txt)
IoC (.stix)