医疗间谍活动背后的黑客会感染X光和MRI机器

被称为“OrangeWorm“黑客组织被发现在装有控制高科技成像设备软件的机器上安装了一个可工作的特洛伊木马，如X光和MRI机器，以及用于帮助患者填写同意书的机器。
赛门铁克（Symantec）周一发布的一份新报告显示，橙虫黑客组织自2015年初以来一直非常活跃，主要针对美国、欧洲和亚洲的主要国际公司的系统，主要关注医疗行业。

赛门铁克说：“我们认为，这些行业也成为了更大规模供应链攻击的目标，以便橙虫能够接触到与医疗保健相关的预期受害者”。

在进入受害者的网络后，攻击者安装了一个名为乡巴佬，打开了受损计算机的后门，允许攻击者远程访问设备并窃取敏感数据。

在解密时，Kwampirs恶意软件会将随机生成的字符串插入其主DLL有效负载，试图逃避基于哈希的检测。恶意软件还会在受损系统上启动一项服务，以便在系统重新启动后持续并重新启动。

Kwampirs然后收集有关受损计算机的一些基本信息，并将其发送给攻击者到远程命令和控制服务器，利用该服务器，该组织可以确定被黑客攻击的系统是由研究人员使用还是由高价值目标使用。
如果受害者感兴趣，恶意软件就会“积极”地在开放网络共享中传播，感染同一组织内的其他计算机。

为了收集有关受害者网络和受损系统的其他信息，恶意软件使用系统的内置命令，而不是使用第三方侦察和枚举工具。

上面显示的命令列表有助于攻击者窃取信息，包括“与最近访问的计算机有关的任何信息、网络适配器信息、可用网络共享、映射驱动器以及受损计算机上存在的文件”。

除了占目标近40%的医疗服务提供商和制药公司外，橙虫还对其他行业发起了攻击，包括信息技术和制造业、农业和物流业。

然而，这些行业也以某种方式为医疗保健服务，比如制造医疗设备的制造商、为诊所提供服务的技术公司，以及提供医疗保健产品的物流公司。
虽然橙狼的确切动机尚不清楚，也没有任何信息可以帮助确定该组织的起源，但赛门铁克认为该组织可能出于商业目的进行间谍活动，也没有证据表明它得到了一个民族国家的支持。

赛门铁克说：“根据已知的受害者名单，橙虫不会随机选择目标或进行机会主义黑客攻击”。“相反，该组织似乎谨慎、故意地选择目标，在发动攻击之前进行了大量规划”。

在美国，受害者的比例最高，其次是沙特阿拉伯、印度、菲律宾、匈牙利、英国、土耳其、德国、波兰、香港、瑞典、加拿大、法国和全球其他几个国家。