オリジナルの記事はThreatSTOP社のセキュリティ・リサーチャーoashmanが書いたもので、本記事はその日本語訳です。オリジナルの記事(英語)は以下のURLからご覧いただけます。
https://blog.threatstop.com/orangeworm-attack-group-targets-healthcare-sector-with-worm-like-trojan
攻撃者集団 Orangeworm attack group の動き
攻撃者集団、Orangeworm attack groupは現在、バックドア型のトロイの木馬マルウェアのTrojan.Kwampirsを拡散させています。まだその動機の全貌は解明されていませんが、Orangewormは企業の機密事項や顧客情報の詐取目的で大手企業に狙いを定めているようです。Orangewormは、先日までは様々な業種を狙って標的型攻撃をしかけていましたが、現在はアメリカ、ヨーロッパ、アジアのヘルスケア業界に狙いを絞っていると思われます。
Kwampirsは、バックドアとして機能し、攻撃を成功した機器に対してOrangewormがリモートアクセスできるようにしてしまいます。Kwampirsはまず、システムリブートが行われても存続するような仕掛けを行います。。そして、機器が持つ価値について判断するために、情報を集めます。価値があると判断した場合、マルウェアをネットワーク中に増殖させ、可能な限り多くの機器を感染させていきます。最終的にはC&Cサーバーへの通信を確立し、大体の場合は、被害者に関する情報をC&Cに送りこみます。
最近の攻撃では、Kwampirsはレントゲン機器やMRIの機械、患者情報を持っている機械を攻略したことがわかっています。現在Orangewormはヘルスケア業界だけにとどまらず、製造業、IT、農業、物流企業も狙っているようです。
ThreatSTOPを使えばKwampirsから自社を守ることができます。
ThreatSTOPのユーザーは、以下のカテゴリが有効化されていることを確認してください。
- TS Originated - Core Threats - IPs
- TS Originated - Core Threats - Domains
ThreatSTOPについて
ThreatSTOP社は脅威インテリジェンスの専門ベンダーです。米軍やイスラエル軍の出身者が多く、独自のルートを使用してインテリジェンスを収集、精査し、ファイアウォール、DNSへ最短15分間隔で配信します。
これによって、ユーザーは攻撃の種類を問わず、既知の攻撃者との通信を可視化・ブロックすることができます。
[RELATED_POSTS]
