IT & Deep Tech

Symantec เผย Orangeworm มุ่งโจมตีเป้าหมายธุรกิจด้านดูแลสุขภาพหลายทวีปทั่วโลก

Symantec ตรวจพบกลุ่มผู้ไม่ประสงค์ดีกลุ่มใหม่ ที่ได้รับการขนานนามว่า Orangeworm ซึ่งทางกลุ่มดังกล่าว มีการสร้างแคมเปญการโจมตีเหยื่อแบบเจาะจงเป้าหมาย ในกลุ่มธุรกิจด้านดูแลสุขภาพ และธุรกิจอื่น ๆ ที่เกี่ยวข้อง โดยใช้มัลแวร์ประเภท backdoor ที่ชื่อว่า Kwampirs

ทางไซแมนเทคค้นพบหลักฐานที่สามารถเชื่อมโยงได้ว่ากลุ่มคนร้ายกลุ่มนี้ ได้เคยทำการโจมตี โดยใช้มัลแวร์ Trojan.Kwampirs ที่ถูกดัดแปลงเป็นพิเศษ ไปยังกลุ่มบริษัทข้ามชาติขนาดใหญ่ ที่ให้บริการด้านสุขภาพของประเทศสหรัฐอเมริกา, ยุโรป และเอเชีย มาก่อนหน้านี้

โดยการโจมตีของกลุ่ม Orangeworm ได้ถูกตรวจพบเป็นครั้งแรกในช่วงเดือนมกราคม ปี 2558 โดยมีกลุ่มเป้าหมายเฉพาะเป็นกลุ่มธุรกิจอุตสาหกรรมขนาดใหญ่ ที่มีความเกี่ยวข้องกับผู้ให้บริการด้านสุขภาพ (supply-chain attack) เพื่อที่จะหาช่องทางการโจมตีไปยังเป้าหมายที่แท้จริง โดยบริษัทที่ตกเป็นเหยื่อในกลุ่มแรกๆ คือบริษัทในกลุ่มที่ให้บริการธุรกิจด้านดูแลสุขภาพ, บริษัทยา, บริษัทที่ให้บริการด้านไอที กับธุรกิจด้านดูแลสุขภาพ และบริษัทผู้ผลิตอุปกรณ์ทางการแพทย์ ล้วนตกเป็นเหยื่อในการจารกรรมในครั้งนี้

“Orangeworm ใช้มัลแวร์ Kwampirs ที่ถูกดัดแปลงเฉพาะ เน้น โจมตีเป้าหมายในกลุ่มธุรกิจด้านสุขภาพในสหรัฐอเมริกา, ยุโรป และเอเชีย https://symc.ly/2K1oJjU”

เป้าหมายหลักคือกลุ่มผู้ให้บริการด้านสุขภาพ

จากข้อมูลของเหยื่อทั้งหมดที่ผ่านมา กลุ่ม Orangeworm ไม่ได้เลือกเป้าหมายสุ่มๆ หรือ มุ่งโจมตีแบบฉาบฉวย หากแต่ตั้งใจเลือกเป้าหมายอย่างระมัดระวัง มีการวางแผนงานอย่างชัดเจนก่อนเริ่มทำการโจมตี

รูปที่ 1. เหยื่อเกือบครึ่งหนึ่งของกลุ่ม Orangeworm เป็นบริษัทที่อยู่ในกลุ่มอุตสาหกรรมด้านสุขภาพ

จากแหล่งข้อมูลของไซแมนเทคพบว่าเกือบ 40 เปอร์เซ็นต์ของเหยื่อของกลุ่ม Orangeworm เป็นบริษัทที่อยู่ในกลุ่มอุตสาหกรรมด้านสุขภาพทั้งสิ้น โดยมีการตรวจพบมัลแวร์ Kwampirs ถูกติดตั้งอยู่บนเครื่องที่ใช้ควบคุมการทำ X-Ray และเครื่อง MRI นอกจากนั้นยังพบว่า กลุ่ม Orangeworm ยังให้ความสนใจในอุปกรณ์ที่ใช้ช่วยเหลือผู้ป่วยที่ต้องการการช่วยเหลือเป็นพิเศษ  ทั้งนี้แรงจูงใจของกลุ่มยังดูไม่ชัดเจนมากนัก

รูปที่ 2. เหยื่อส่วนใหญ่ของกลุ่ม Orangeworm อยู่ในประเทศสหรัฐอเมริกาเป็นหลัก

ไซแมนเทคพบว่าเหยื่อส่วนใหญ่ของกลุ่ม Orangeworm  อยู่ในประเทศสหรัฐอเมริกาเป็นหลัก คิดเป็นจำนวน 17 เปอร์เซ็นต์ของผู้ตกเป็นเหยื่อทั้งหมด จากแหล่งข้อมูลของไซแมนเทคได้แสดงให้เห็นว่า การโจมตีได้เริ่มต้นอย่างเป็นทางการ ราวๆ ปี 2559-2560 โดยมีการโจมตีหยั่งเชิงไปยังเหยื่อจำนวนไม่มากนัก โดยมีเป้าหมายกระจายไปยังหลายๆ ประเทศ เนื่องจากบริษัทเหยื่อที่เป็นเป้าหมาย เป็นบริษัทข้ามชาติ ที่มีสาขาในประเทศต่างๆ

บริษัทที่ให้บริการธุรกิจด้านดูแลสุขภาพตกเป็นเป้าโจมตี

เราเชื่อว่าธุรกิจในกลุ่มนี้ตกเป็นเป้าหมาย เนื่องจากเป็นส่วนหนึ่งของแผนโจมตีแบบห่วงโซ่ขนาดใหญ่ เป็นทางผ่านเพื่อที่กลุ่มคนร้ายจะเข้าถึงเป้าหมายที่แท้จริง คือการโจมตีไปยังธุรกิจด้านดูแลสุขภาพ ซึ่งกลุ่มเป้าหมายรองของกลุ่ม Orangeworm  เหล่านี้ ได้แก่ กลุ่มผู้ผลิตเครื่องมือทางการแพทย์, กลุ่มบริษัทด้านไอที, กลุ่มบริษัทด้านการเกษตร, กลุ่มบริษัทด้านการขนส่ง คุณอาจเห็นว่าธุรกิจเหล่านี้ ดูไม่เกี่ยวข้องกันมากนัก แต่เมื่อสังเกตให้ดีจะพบว่ามีความเกี่ยวข้องในหลายๆ ด้านกับธุรกิจด้านดูแลสุขภาพ เช่น บริษัทที่ผลิตเครื่องมือทางการแพทย์ จำพวกเครื่อง X-Ray ที่สามารถขายให้ธุรกิจด้านดูแลสุขภาพได้โดยตรง หรือบริษัทไอที ที่ดูแลระบบให้บรรดาคลินิกต่างๆ หรือบริษัทขนส่ง ที่ทำหน้าที่ขนส่งอุปกรณ์ทางการแพทย์ เป็นต้น

ขั้นตอนการทำงานหลังจากการโจมตีประสบผลสำเร็จ

หลังจากกลุ่ม Orangeworm ทำการแทรกซึมเข้าไปยังเครือข่ายของเป้าหมายได้สำเร็จ พวกเขาจะทำการติดตั้งโทรจันที่ชื่อว่า Trojan.Kwampirs  เพื่อให้คนร้ายสามารถรีโมตกลับเข้ามาที่เครื่องคอมพิวเตอร์ของเหยื่อในภายหลังได้

เมื่อ Kwampirs เริ่มต้นการทำงาน มันจะทำการถอดรหัส และทำสำเนาไฟล์ DLL ที่เป็นส่วนฟังก์ชั่นการทำงานหลัก จากส่วนของ resource section ภายในตัวของมัน  โดยก่อนจะทำการบันทึกไฟล์ DLL ดังกล่าว ลงในเครื่องเป้าหมาย มันจะทำการเขียนข้อความสุ่ม เพิ่มเติมเข้าไปภายในไฟล์ เพื่อทำให้ไฟล์ดังกล่าว มีความแตกต่างกันในแต่ละเครื่อง ทำให้สามารถหลบหลีกการตรวจจับประเภทที่ใช้ hash ในการตรวจสอบ เช่น โปรแกรมป้องกันไวรัสที่ใช้ signature ทั่วๆ ไป

เพื่อทำให้มั่นใจว่า ตัวไฟล์หลักของมัลแวร์ จะถูกเรียกทุกครั้งที่มีการเปิดเครื่องใหม่ มันจะทำการสร้าง  service  บนระบบปฏิบัติการ Windows โดยมีการตั้งค่าต่าง ๆ ดังนี้

ตัวมัลแวร์ยังสามารถเก็บรวบรวมข้อมูลพื้นฐานต่าง ๆ ของเครื่องคอมพิวเตอร์เป้าหมาย เข่น ข้อมูลการตั้งค่าของระบบเครือข่าย ข้อมูลเวอร์ชั่นของระบบ และข้อมูลการตั้งค่าภาษาของระบบปฏิบัติการ

Orangeworm จะนำข้อมูลเหล่านี้มาใช้ในการตัดสินใจว่า ตัวมันถูกรันอยู่บนเครื่องทดสอบของนักวิจัยด้านความปลอดภัย หรือกำลังรันอยู่บนเครื่องที่เป็นเป้าหมายของมันจริงๆ   เมื่อมั่นใจว่าน่าจะอยู่บนเครื่องเป้าหมาย มันจะทำสำเนาตัวมันเองไปยัง โฟลเดอร์ที่แชร์ไว้ในระบบเครือข่าย ที่มันสามารถเข้าถึงได้ เพื่อจะเพิ่มจำนวนเครื่องเหยื่อ โดยมันจะพยายามทำสำเนาไฟล์ของมันไปยังแชร์ที่ถูกซ่อนไว้เหล่านี้ด้วย: ADMIN$ ,  C$WINDOWS, D$WINDOWS , E$WINDOWS

ขั้นตอนการรวบรวมข้อมูลถึงตอนนี้ คนร้ายจะพยายามเก็บรวบรวมข้อมูลเพิ่มเติม เกี่ยวกับเครือข่ายของเป้าหมาย ให้มากที่สุดเท่าที่เป็นไปได้เช่น รายการเครื่องคอมพิวเตอร์ที่เคยติดต่อ, พร้อมข้อมูลเครือข่ายที่เกี่ยวข้อง, แชร์โฟลเดอร์ต่างๆ ที่เข้าถึงได้ทั้งหมด, แชร์ไดรฟ์ที่มีการเชื่อมต่อไว้, และรายการไฟล์ทั้งหมดในเครื่องของเหยื่อ เราค้นพบว่า คนร้ายมีการรันคำสั่งเพิ่มเติมในเครื่องของเหยื่อดังนี้:

คนร้ายไม่กังวลว่าจะถูกตรวจพบ

Kwampirs ใช้วิธีที่ค่อนข้างอุกอาจ โดยการแพร่กระจายเชื้อในระบบเครือข่าย ผ่านการทำสำเนาตัวเองไปยังแชร์โฟลเดอร์ต่างๆ ที่มันค้นพบ แม้ว่า วิธีแพร่กระจายรูปแบบนี้จะเป็นวิธีที่ค่อนข้างเก่า แต่ยังได้ผลดี สืบเนื่องมาจากบรรดาธุรกิจที่ดูแลสุขภาพส่วนใหญ่ ยังคงใช้ระบบปฏิบัติการเดิมๆ อย่าง Windows XP เพราะระบบโปรแกรมควบคุมส่วนใหญ่ ที่ใช้ในวงการดูแลสุขภาพ ยังคงรองรับเฉพาะระบบปฏิบัติการที่ตกรุ่นไปแล้ว ทำให้ Windows XP ยังคงมีการใช้งานอย่างแพร่หลายในอุตสาหกรรมด้านสุขภาพนี้

นอกจากนั้น เมื่อทำการแพร่เชื้อได้สำเร็จ มัลแวร์ดังกล่าว จะพยายามทำการติดต่อกลับไปยังรายชื่อของเครื่องควบคุมของกลุ่มคนร้าย (C&C server) ที่ถูกฝังเอาไว้ในตัวมัลแวร์เอง ซึ่งรายชื่อเครื่องควบคุมในรายการ ถึงจะมีเป็นจำนวนมาก แต่คนร้ายก็ไม่ได้เปิดใช้งานทั้งหมด โดยตัวมัลแวร์จะพยายามไล่ติดต่อตามรายการจนกว่าจะประสบความสำเร็จในการเชื่อมต่อ ในระหว่างการพยายามแพร่เชื้อแม้ว่าจะมีกระบวนการหลบหลีกการตรวจจับ โดยการเปลี่ยนแปลงตัวเองทุกครั้งที่มีการทำสำเนา แต่คนร้ายก็ไม่ได้เปลี่ยนแปลงวิธีการเชื่อมต่อเครื่องควบคุมไปจากเดิมแต่อย่างใด

โดยกระบวนการทำงานดังกล่าวนี้ ถือได้ว่า ก่อให้เกิดสิ่งที่ “ผิดสังเกต” ได้เป็นจำนวนมาก ไม่ได้มีกระบวนการที่จะพยายามหลบซ่อนตัวเองแต่อย่างใด จึงน่าจะสรุปได้ว่ากลุ่ม Orangeworm ไม่ได้กังวลเลยว่าจะถูกจับได้ และจากการที่มัลแวร์ Kwampirs เวอร์ชั่นล่าสุด มีความเปลี่ยนแปลงไปเพียงเล็กน้อย เมื่อเทียบกับตัวอย่างแรกที่มีการค้นพบ นั่นหมายความว่า กระบวนการป้องกันที่ทางเหยื่อเลือกใช้ ไม่มีประสิทธิภาพเพียงพอ เพราะคนร้ายยังคงโจมตีไปยังเป้าหมายที่ต้องการได้สำเร็จ แม้ว่าระบบป้องกันที่วางไว้จะเคยรู้จักตัวอย่างของมันมาก่อนก็ตาม

ไม่มีหลักฐานเชื่อมโยงกับหน่วยงานรัฐบาลใดๆ

แม้ว่ากลุ่ม Orangeworm จะดำเนินงานมาหลายปี เรายังไม่พบหลักฐานการเชื่อมโยง หรือมีการสนับสนุนใดๆ จากหน่วยงานลับของประเทศต่างๆ  ทั้งนี้ดูเหมือนว่ากลุ่มคนร้ายอาจเป็นคนเพียงคนเดียว หรือกลุ่มเล็กๆ เพียงไม่กี่คน  เรายังไม่พบหลักฐานทางเทคนิค หรือเงื่อนงำใดๆ ที่สามารถระบุได้ เกี่ยวกับต้นกำเนิดของกลุ่มคนร้ายกลุ่มนี้

การป้องกัน

ลูกค้าของไซแมนเทคจะได้รับการป้องกันจากการโจมตีของ Orangeworm และทางไซแมนเทค ได้ทำการแจ้งเตือนไปยังบริษัทที่ตกเป็นเป้าหมายทั้งหมดของคนร้าย ที่เราสามารถระบุได้

ลูกค้าที่ใช้งานผลิตภัณฑ์ที่มีบริการ Intelligence Services หรือ WebFilter-enabled  จะได้รับการป้องกันจากการโจมตี หรือการกระทำที่มีความเกี่ยวกับกลุ่ม Orangeworm  ซึ่งได้แก่ผลิตภัณฑ์:

Web Security Service (WSS)

ProxySG

Advanced Secure Gateway (ASG)

Security Analytics

Content Analysis

Malware Analysis

SSL Visibility

PacketShaper

นอกจากนั้น ทางไซแมนเทคยังได้เพิ่มรายการตรวจจับเครื่องมือที่ทางกลุ่ม Orangeworm มีการใช้งานดังนี้:

Anti-virus (AV):

Trojan.Kwampirs

Intrusion prevention system (IPS):

System Infected: Trojan.Kwampirs Activity

System Infected: Trojan.Kwampirs Activity 2

System Infected: Trojan.Kwampirs Activity 4

Indicators of Compromise

File Attachments

Sample dropper hashes

MD5 hash File directory File name
0240ed7e45567f606793dafaff024acf %WINDOWS%\SysWOW64 wmipsrvce.exe
047f70dbac6cd9a4d07abef606d89fb7 %WINDOWS%\system32 wmiapsrvce.exe
0240ed7e45567f606793dafaff024acf %WINDOWS%\system32 WMIAPSRVUX.EXE
2ae53de1a1f65a6d57e96dab26c73cda %WINDOWS%\system32 wmiapsrve.exe
47345640c135bd00d9f2969fabb4c9fa %WINDOWS%\system32 WMIPSVRCE.EXE
cb9954509dc82e6bbed2aee202d88415 %WINDOWS%\system32 wmipsrvce.exe
cb9954509dc82e6bbed2aee202d88415 %WINDOWS%\system32 WMIPSVRE.EXE
b680b119643876286030c4f6134dc4e3 %WINDOWS%\system32 wmiapsrve.exe
fac94bc2dcfbef7c3b248927cb5abf6d %WINDOWS%\system32 wmipvsre.exe
856683aee9687f6fdf00cfd4dc4c2aef %WINDOWS%\system32 wmiapsvrce.exe
847459c8379250d8be2b2d365be877f5 %WINDOWS%\system32 wmiapsrve.exe
fac94bc2dcfbef7c3b248927cb5abf6d %WINDOWS%\system32 WMIAPSRVE.EXE
fac94bc2dcfbef7c3b248927cb5abf6d %WINDOWS%\system32 WMIPRVSE.EXE
cb9954509dc82e6bbed2aee202d88415 %WINDOWS%\system32 WMIPVSRE.EXE
6277e675d335fd69a3ff13a465f6b0a8 %WINDOWS%\system32 wmipsrvce.exe
847459c8379250d8be2b2d365be877f5 %WINDOWS%\system32 wmiapsvre.exe
3bedc1c4c1023c141c2f977e846c476e %WINDOWS%\System32 wmipsvrce.exe
ce3894ee6f3c2c2c828148f7f779aafe %WINDOWS%\system32 WMIAPVSRE.EXE
3b3a1062689ffa191e58d5507d39939d %WINDOWS%\system32 wmiaprvse.exe
47345640c135bd00d9f2969fabb4c9fa %WINDOWS%\system32 WMIAPSVRE.EXE
3bedc1c4c1023c141c2f977e846c476e %WINDOWS%\system32 wmiapvsre.exe
6277e675d335fd69a3ff13a465f6b0a8 %WINDOWS%\System32 wmiapsrve.exe
856683aee9687f6fdf00cfd4dc4c2aef %WINDOWS%\system32 wmipsvrce.exe
cb9954509dc82e6bbed2aee202d88415 %WINDOWS%\system32 wmipsvrce.exe
fac94bc2dcfbef7c3b248927cb5abf6d %WINDOWS%\System32 wmipsrvce.exe
847459c8379250d8be2b2d365be877f5 %WINDOWS%\system32 WMIPRVSE.EXE
cb9954509dc82e6bbed2aee202d88415 %WINDOWS%\system32 wmiapsrvcx.exe
856683aee9687f6fdf00cfd4dc4c2aef %WINDOWS%\System32 wmiapsrvce.exe
cb9954509dc82e6bbed2aee202d88415 %WINDOWS%\System32 wmiprvse.exe
7e5f76c7b5bf606b0fdc17f4ba75de03 %WINDOWS%\system32 wmiapsvrce.exe
177bece20ba6cc644134709a391c4a98 %WINDOWS%\system32 wmiapsrvex.exe
fac94bc2dcfbef7c3b248927cb5abf6d %WINDOWS%\system32 wmiaprvse.exe
fac94bc2dcfbef7c3b248927cb5abf6d %WINDOWS%\system32 wmipsvre.exe
3b3a1062689ffa191e58d5507d39939d %WINDOWS%\system32 wmiapsrvex.exe
b59e4942f7c68c584a35d59e32adce3a %WINDOWS%\system32 wmiapsrve.exe
81e61e5f44a6a476983e7a90bdac6a55 %WINDOWS%\system32 WMIAPSRVCX.EXE

 

Sample payload DLL hashes

MD5 hash File directory File name
ec968325394f3e6821bf90fda321e09b %WINDOWS%\system32 WMIAMGMT.DLL
01cf05a07af57a7aafd0ad225a6fd300 %WINDOWS%\system32 WMIASSN.DLL
d57df638c7befd7897c9013e90b678f0 %WINDOWS%\system32 wmiamgmt.dll
5c3499acfe0ad7563b367fbf7fb2928c %WINDOWS%\syswow64 wmipadp.dll
4b91ec8f5d4a008dd1da723748a633b6 %WINDOWS%\system32 wmipadp.dll
134846465b8c3f136ace0f2a6f15e534 %WINDOWS%\system32 wmiassn.dll
9d2cb9d8e73fd879660d9390ba7de263 %WINDOWS%\system32 WMIPDPA.DLL
939e76888bdeb628405e1b8be963273c %WINDOWS%\system32 wmiadrv.dll
de9b01a725d4f19da1c1470cf7a948ee %WINDOWS%\system32 wmipdpa.dll
bb939a868021db963916cc0118aab8ee %WINDOWS%\system32 wmipadp.dll
3289c9a1b534a19925a14a8f7c39187c %WINDOWS%\system32 wmiadrv.dll
9d3839b39d699336993df1dd4501892b %WINDOWS%\system32 wmipdpa.dll
5c3499acfe0ad7563b367fbf7fb2928c %WINDOWS%\system32 wmipadp.dll
fece72bd41cb0e06e05a847838fbde56 %WINDOWS%\system32 wmiassn.dll
bbd9e4204514c66c1babda178c01c213 %WINDOWS%\system32 wmiadrv.dll
ee4206cf4227661d3e7ec846f0d69a43 %WINDOWS%\system32 wmipadp.dll
290d8e8524e57783e8cc1b9a3445dfe9 %WINDOWS%\system32\ wmiamgmt.dll

 

Sample C&Cs

Remote IP address URL
65.116.107.24 hxxp://65.116.107.24/login/login.php?q=kt[REDACTED_BASE64_STRING]==
13.44.61.126 hxxp://13.44.61.126/main/indexmain.php?q=KT[REDACTED_BASE64_STRING]==
56.28.111.63 hxxp://56.28.111.63/group/group/defaultmain.php?q=KT[REDACTED_BASE64_STRING]==
118.71.138.69 hxxp://118.71.138.69/new/main/default.php?q=KT[REDACTED_BASE64_STRING]==
117.32.65.101 hxxp://117.32.65.101/users/login.php?q=kt[REDACTED_BASE64_STRING]==
18.25.62.70 hxxp://18.25.62.70/groupgroup/default.php?q=kt[REDACTED_BASE64_STRING]==
92.137.43.17 hxxp://92.137.43.17/group/group/home/login/home.php?q=KT[REDACTED_BASE64_STRING]==
33.25.72.21 hxxp://33.25.72.21/group/main.asp?q=KT[REDACTED_BASE64_STRING]==
16.48.37.37 hxxp://16.48.37.37/groupusers/default.php?q=kt[REDACTED_BASE64_STRING]==
91.29.51.11 hxxp://91.29.51.11/default/main.php?q=KT[REDACTED_BASE64_STRING]==

 

Show More

DigitalNext

Blogger ที่มีงานเขียน (Content Provider) ให้กับเว็บไซต์ชื่อดังหลายแห่งในไทย ประเภทของเนื้อหา มีทั้งทางด้านอุปกรณ์ไอที-สื่อสาร, Gadget, เครื่องเสียง, เครื่องใช้ไฟฟ้าในครัวเรือน, ยานยนต์, สุขภาพชายหนุ่ม, อาหาร, ช้อปปิ้ง, อสังหาริมทรัพย์ และอื่น ๆ ที่น่าสนใจ

Related Articles

Leave a Reply

Close