Pulse Detail — Threat Intelligence

PULSE NAME

Orangeworm attack group targets the healthcare sector in the U.S., Europe, and Asia

WHITE Orangeworm AlienVault 2018-04-23 Modified: 2020-03-30

323

IOCs

HIGH VOLUME

Symantec has identified a previously unknown group called Orangeworm that has been observed installing a custom backdoor called Trojan.Kwampirs within large international corporations that operate within the healthcare sector in the United States, Europe, and Asia. First identified in January 2015, Orangeworm has also conducted targeted attacks against organizations in related industries as part of a larger supply-chain attack in order to reach their intended victims. Known victims include healthcare providers, pharmaceuticals, IT solution providers for healthcare and equipment manufacturers that serve the healthcare industry, likely for the purpose of corporate espionage.

Indicators of Compromise (323)

All URL FileHash-MD5 YARA domain hostname

TYPE	INDICATOR	DESCRIPTION	CREATED
URL	http://117.32.65.101/users/login.php?q=kt[REDACTED_BASE64_STRING]==	—	2018-04-23
URL	http://118.71.138.69/new/main/default.php?q=KT[REDACTED_BASE64_STRING]==	—	2018-04-23
URL	http://13.44.61.126/main/indexmain.php?q=KT[REDACTED_BASE64_STRING]==	—	2018-04-23
URL	http://16.48.37.37/groupusers/default.php?q=kt[REDACTED_BASE64_STRING]==	—	2018-04-23
URL	http://18.25.62.70/groupgroup/default.php?q=kt[REDACTED_BASE64_STRING]==	—	2018-04-23
URL	http://33.25.72.21/group/main.asp?q=KT[REDACTED_BASE64_STRING]==	—	2018-04-23
URL	http://56.28.111.63/group/group/defaultmain.php?q=KT[REDACTED_BASE64_STRING]==	—	2018-04-23
URL	http://65.116.107.24/login/login.php?q=kt[REDACTED_BASE64_STRING]==	—	2018-04-23
URL	http://91.29.51.11/default/main.php?q=KT[REDACTED_BASE64_STRING]==	—	2018-04-23
URL	http://92.137.43.17/group/group/home/login/home.php?q=KT[REDACTED_BASE64_STRING]=	—	2018-04-23
FileHash-MD5	01cf05a07af57a7aafd0ad225a6fd300	—	2018-04-23
FileHash-MD5	0240ed7e45567f606793dafaff024acf	—	2018-04-23
FileHash-MD5	047f70dbac6cd9a4d07abef606d89fb7	—	2018-04-23
FileHash-MD5	134846465b8c3f136ace0f2a6f15e534	—	2018-04-23
FileHash-MD5	177bece20ba6cc644134709a391c4a98	—	2018-04-23
FileHash-MD5	290d8e8524e57783e8cc1b9a3445dfe9	—	2018-04-23
FileHash-MD5	2ae53de1a1f65a6d57e96dab26c73cda	—	2018-04-23
FileHash-MD5	3289c9a1b534a19925a14a8f7c39187c	—	2018-04-23
FileHash-MD5	3b3a1062689ffa191e58d5507d39939d	—	2018-04-23
FileHash-MD5	3bedc1c4c1023c141c2f977e846c476e	—	2018-04-23
FileHash-MD5	47345640c135bd00d9f2969fabb4c9fa	—	2018-04-23
FileHash-MD5	4b91ec8f5d4a008dd1da723748a633b6	—	2018-04-23
FileHash-MD5	5c3499acfe0ad7563b367fbf7fb2928c	—	2018-04-23
FileHash-MD5	6277e675d335fd69a3ff13a465f6b0a8	—	2018-04-23
FileHash-MD5	7e5f76c7b5bf606b0fdc17f4ba75de03	—	2018-04-23
FileHash-MD5	81e61e5f44a6a476983e7a90bdac6a55	—	2018-04-23
FileHash-MD5	847459c8379250d8be2b2d365be877f5	—	2018-04-23
FileHash-MD5	856683aee9687f6fdf00cfd4dc4c2aef	—	2018-04-23
FileHash-MD5	939e76888bdeb628405e1b8be963273c	—	2018-04-23
FileHash-MD5	9d2cb9d8e73fd879660d9390ba7de263	—	2018-04-23
FileHash-MD5	9d3839b39d699336993df1dd4501892b	—	2018-04-23
FileHash-MD5	b59e4942f7c68c584a35d59e32adce3a	—	2018-04-23
FileHash-MD5	b680b119643876286030c4f6134dc4e3	—	2018-04-23
FileHash-MD5	bb939a868021db963916cc0118aab8ee	—	2018-04-23
FileHash-MD5	bbd9e4204514c66c1babda178c01c213	—	2018-04-23
FileHash-MD5	cb9954509dc82e6bbed2aee202d88415	—	2018-04-23
FileHash-MD5	ce3894ee6f3c2c2c828148f7f779aafe	—	2018-04-23
FileHash-MD5	d57df638c7befd7897c9013e90b678f0	—	2018-04-23
FileHash-MD5	de9b01a725d4f19da1c1470cf7a948ee	—	2018-04-23
FileHash-MD5	ec968325394f3e6821bf90fda321e09b	—	2018-04-23
FileHash-MD5	ee4206cf4227661d3e7ec846f0d69a43	—	2018-04-23
FileHash-MD5	fac94bc2dcfbef7c3b248927cb5abf6d	—	2018-04-23
FileHash-MD5	fece72bd41cb0e06e05a847838fbde56	—	2018-04-23
YARA	984eb37959e262ac9a6229a837fc0ae87adb0881	Kwampirs dropper and main payload components	2018-04-23
domain	dswdswnrj.co	—	2018-04-23
domain	dswfjr.nl	—	2018-04-23
domain	dswpbnkcnmain.ch	—	2018-04-23
domain	dswpowersite.ca	—	2018-04-23
domain	dswsite.com	—	2018-04-23
domain	dswsitemain.in	—	2018-04-23
domain	dswyhdikjpower.fr	—	2018-04-23
domain	dswyhdpbnyhd.com	—	2018-04-23
domain	fjrpbn.in	—	2018-04-23
domain	fjrsitesite.nl	—	2018-04-23
domain	ikjjfn.biz	—	2018-04-23
domain	ikjpbnservikjyhd.ca	—	2018-04-23
domain	ikjpowersrvdswsrv.com	—	2018-04-23
domain	ikjyhd.nl	—	2018-04-23
domain	jfndsw.fr	—	2018-04-23
domain	jfnpowerdsw.tk	—	2018-04-23
domain	kcnkcnmainservjfn.info	—	2018-04-23
domain	kcnncjnrjnrjfjr.in	—	2018-04-23
domain	kcnnrjyhdjfn.in	—	2018-04-23
domain	kcnpbn.ch	—	2018-04-23
domain	mainkcn.biz	—	2018-04-23
domain	ncdndswjfnsite.com	—	2018-04-23
domain	ncdnjfnyhdpbnncj.nl	—	2018-04-23
domain	ncjpbnyhd.com	—	2018-04-23
domain	ncjpowerkcn.fr	—	2018-04-23
domain	nrjmainkcnmain.org	—	2018-04-23
domain	nrjserv.com	—	2018-04-23
domain	nrjyhdfjrpowerncj.in	—	2018-04-23
domain	nrjyhdncdnncjsrv.biz	—	2018-04-23
domain	pbnncdnkcnncjikj.org	—	2018-04-23
domain	pbnsrv.org	—	2018-04-23
domain	powerfjr.info	—	2018-04-23
domain	powerikj.biz	—	2018-04-23
domain	powerpbnsitemain.ch	—	2018-04-23
domain	powerserv.nl	—	2018-04-23
domain	servjfnservjfndsw.nl	—	2018-04-23
domain	servncdnservnrj.info	—	2018-04-23
domain	servsiteyhdjfnserv.co	—	2018-04-23
domain	sitekcnnrjsrvpbn.fr	—	2018-04-23
domain	srvdswnrj.nl	—	2018-04-23
domain	srvmainkcnsite.biz	—	2018-04-23
domain	yhdncj.biz	—	2018-04-23
domain	yhdncjsitefjr.tk	—	2018-04-23
URL	http://dswdswnrj.co/group/mainloginmain.php?q=	—	2018-04-23
URL	http://dswfjr.nl/groupnew/homedefault/home.php?q=	—	2018-04-23
URL	http://dswpbnkcnmain.ch/default/default.asp?q=	—	2018-04-23
URL	http://dswpowersite.ca/users/home.php?q=	—	2018-04-23
URL	http://dswsite.com/login.php?q=	—	2018-04-23
URL	http://dswsitemain.in/home.asp?q=	—	2018-04-23
URL	http://dswyhdikjpower.fr/usersusers/index.php?q=	—	2018-04-23
URL	http://dswyhdpbnyhd.com/group/users/loginindex.php?q=	—	2018-04-23
URL	http://fjrpbn.in/users/default.aspx?q=	—	2018-04-23
URL	http://fjrsitesite.nl/group/mainindexlogin.php?q=	—	2018-04-23
URL	http://ikjjfn.biz/default/homelogin.php?q=	—	2018-04-23
URL	http://ikjpbnservikjyhd.ca/mainhomemain.aspx?q=	—	2018-04-23
URL	http://ikjpowersrvdswsrv.com/main.php?q=	—	2018-04-23
URL	http://ikjyhd.nl/default/loginlogin.php?q=	—	2018-04-23
URL	http://jfndsw.fr/new/loginhome.php?q=	—	2018-04-23
URL	http://jfnpowerdsw.tk/indexlogin/main.php?q=	—	2018-04-23
URL	http://kcnkcnmainservjfn.info/homehome/default.php?q=	—	2018-04-23
URL	http://kcnncjnrjnrjfjr.in/group/default/main/home.php?q=	—	2018-04-23
URL	http://kcnnrjyhdjfn.in/newnew/index/main.aspx?q=	—	2018-04-23
URL	http://kcnpbn.ch/group/users/login/default.php?q=	—	2018-04-23
URL	http://mainkcn.biz/new/loginindexlogin.aspx?q=	—	2018-04-23
URL	http://ncdndswjfnsite.com/indexdefault.php?q=	—	2018-04-23
URL	http://ncdnjfnyhdpbnncj.nl/index/default.aspx?q=	—	2018-04-23
URL	http://ncjpbnyhd.com/newusers/main.php?q=	—	2018-04-23
URL	http://ncjpowerkcn.fr/login.php?q=	—	2018-04-23
URL	http://nrjmainkcnmain.org/newgroup/home.php?q=	—	2018-04-23
URL	http://nrjserv.com/group/default.aspx?q=	—	2018-04-23
URL	http://nrjyhdfjrpowerncj.in/login.php?q=	—	2018-04-23
URL	http://nrjyhdncdnncjsrv.biz/main.php?q=	—	2018-04-23
URL	http://pbnncdnkcnncjikj.org/default.aspx?q=	—	2018-04-23
URL	http://pbnsrv.org/logindefault.php?q=	—	2018-04-23
URL	http://powerfjr.info/usersusers/home/login/main.asp?q=	—	2018-04-23
URL	http://powerikj.biz/main/default/default.php?q=	—	2018-04-23
URL	http://powerpbnsitemain.ch/home.php?q=	—	2018-04-23
URL	http://powerserv.nl/new/main.asp?q=	—	2018-04-23
URL	http://servjfnservjfndsw.nl/group/main.asp?q=	—	2018-04-23
URL	http://servncdnservnrj.info/new/mainlogin.php?q=	—	2018-04-23
URL	http://servsiteyhdjfnserv.co/group/default.php?q=	—	2018-04-23
URL	http://sitekcnnrjsrvpbn.fr/mainhome/index.php?q=	—	2018-04-23
URL	http://srvdswnrj.nl/groupusers/homehomeindex.asp?q=	—	2018-04-23
URL	http://srvmainkcnsite.biz/indexloginhome.asp?q=	—	2018-04-23
URL	http://www.dswfjrncjncdnyhd.nl/users/login/home.php?q=	—	2018-04-23
URL	http://www.dswkcnncdnsrv.info/group/new/index.php?q=	—	2018-04-23
URL	http://www.dswsite.nl/users/main.php?q=	—	2018-04-23
URL	http://www.fjrdswkcnpowerjfn.nl/users/default.php?q=	—	2018-04-23
URL	http://www.fjrjfnjfnikjyhd.biz/users/group/index/default.aspx?q=	—	2018-04-23
URL	http://www.fjrnrjncdnyhdncj.com/new/main/default.asp?q=	—	2018-04-23
URL	http://www.ikjncdn.ch/loginindex.php?q=	—	2018-04-23
URL	http://www.ikjservjfn.ca/group/main.php?q=	—	2018-04-23
URL	http://www.jfnncj.org/new/users/homeindex.aspx?q=	—	2018-04-23
URL	http://www.jfnnrjservncdn.nl/group/defaultdefaultlogin.asp?q=	—	2018-04-23
URL	http://www.kcnyhd.ro/group/group/login/main/home.php?q=	—	2018-04-23
URL	http://www.mainnrj.nl/users/index/home.php?q=	—	2018-04-23
URL	http://www.nrjfjrkcnsite.org/index/defaultlogin.php?q=	—	2018-04-23
URL	http://www.pbnmainfjrikjikj.nl/main.php?q=	—	2018-04-23
URL	http://www.pbnmainkcn.cn/users/users/default.php?q=	—	2018-04-23
URL	http://www.sitencjdswyhdserv.nl/loginhomemain.php?q=	—	2018-04-23
URL	http://www.srvfjrncj.ru/users/group/index/login/default?q=	—	2018-04-23
URL	http://www.srvservikjdswnrj.in/index/home.aspx?q=	—	2018-04-23
URL	http://www.yhdnrjjfnikj.in/users/home.asp?q=	—	2018-04-23
URL	http://yhdncj.biz/new/default/home.aspx?q=	—	2018-04-23
URL	http://yhdncjsitefjr.tk/homelogin.aspx?q=	—	2018-04-23
hostname	www.dswfjrncjncdnyhd.nl	—	2018-04-23
hostname	www.dswkcnncdnsrv.info	—	2018-04-23
hostname	www.dswsite.nl	—	2018-04-23
hostname	www.fjrdswkcnpowerjfn.nl	—	2018-04-23
hostname	www.fjrjfnjfnikjyhd.biz	—	2018-04-23
hostname	www.fjrnrjncdnyhdncj.com	—	2018-04-23
hostname	www.ikjncdn.ch	—	2018-04-23
hostname	www.ikjservjfn.ca	—	2018-04-23
hostname	www.jfnncj.org	—	2018-04-23
hostname	www.jfnnrjservncdn.nl	—	2018-04-23
hostname	www.kcnyhd.ro	—	2018-04-23
hostname	www.mainnrj.nl	—	2018-04-23
hostname	www.nrjfjrkcnsite.org	—	2018-04-23
hostname	www.pbnmainfjrikjikj.nl	—	2018-04-23
hostname	www.pbnmainkcn.cn	—	2018-04-23
hostname	www.sitencjdswyhdserv.nl	—	2018-04-23
hostname	www.srvfjrncj.ru	—	2018-04-23
hostname	www.srvservikjdswnrj.in	—	2018-04-23
hostname	www.yhdnrjjfnikj.in	—	2018-04-23
domain	dswfjr.tk	—	2018-05-03
domain	dswfjrsitejfnsite.com	—	2018-05-03
domain	dswjfnnrj.in	—	2018-05-03
domain	dswkcnfjrfjrkcn.us	—	2018-05-03
domain	dswncj.in	—	2018-05-03
domain	dswpower.in	—	2018-05-03
domain	dswpowerncdn.nl	—	2018-05-03
domain	dswservdswpowerpower.in	—	2018-05-03
domain	fjrmainpbndsw.com	—	2018-05-03
domain	fjrncdnfjryhdsrv.nl	—	2018-05-03
domain	fjrncdnkcn.nl	—	2018-05-03
domain	ikjdswdsw.us	—	2018-05-03
domain	ikjdswyhd.fr	—	2018-05-03
domain	ikjfjr.ch	—	2018-05-03
domain	ikjncj.fr	—	2018-05-03
domain	ikjncjjfnjfnsite.us	—	2018-05-03
domain	ikjncjncj.nl	—	2018-05-03
domain	ikjyhdncj.nl	—	2018-05-03
domain	jfnfjrmaindswnrj.nl	—	2018-05-03
domain	jfnikjjfnjfn.us	—	2018-05-03
domain	jfnmain.in	—	2018-05-03
domain	jfnmainpoweryhd.ru	—	2018-05-03
domain	jfnncdn.tk	—	2018-05-03
domain	jfnnrjyhd.nl	—	2018-05-03
domain	jfnpowerservkcn.nl	—	2018-05-03
domain	jfnservncjsite.in	—	2018-05-03
domain	kcnfjrikj.nl	—	2018-05-03
domain	kcnfjrncj.in	—	2018-05-03
domain	kcnfjrpowerikj.nl	—	2018-05-03
domain	kcnfjrservkcn.in	—	2018-05-03
domain	kcnikjmainncdn.in	—	2018-05-03
domain	kcnikjpower.info	—	2018-05-03
domain	kcnkcnikjncj.in	—	2018-05-03
domain	kcnncjncdnjfn.in	—	2018-05-03
domain	kcnnrj.us	—	2018-05-03
domain	kcnnrjncjncjkcn.in	—	2018-05-03
domain	kcnnrjyhdkcn.nl	—	2018-05-03
domain	kcnpbn.co	—	2018-05-03
domain	kcnpbnpower.com	—	2018-05-03
domain	kcnpbnserv.co	—	2018-05-03
domain	kcnservyhd.in	—	2018-05-03
domain	kcnsitefjrsrvikj.in	—	2018-05-03
domain	mainfjrpbn.nl	—	2018-05-03
domain	mainjfn.nl	—	2018-05-03
domain	mainkcnkcnnrjdsw.biz	—	2018-05-03
domain	mainpbn.nl	—	2018-05-03
domain	mainsrvmaindswfjr.com	—	2018-05-03
domain	ncdnfjr.nl	—	2018-05-03
domain	ncdnikjnrjkcn.nl	—	2018-05-03
domain	ncdnkcnfjr.tk	—	2018-05-03
domain	ncdnnrjpowerserv.fr	—	2018-05-03
domain	ncdnpbn.us	—	2018-05-03
domain	ncdnpowerpower.ca	—	2018-05-03
domain	ncdnservpowerncjfjr.tk	—	2018-05-03
domain	ncdnsrvncjsrvpbn.biz	—	2018-05-03
domain	ncdnyhdjfnyhd.biz	—	2018-05-03
domain	ncjfjr.org	—	2018-05-03
domain	ncjmainpbnpbn.in	—	2018-05-03
domain	ncjncjncjncdnsrv.nl	—	2018-05-03
domain	ncjpbn.in	—	2018-05-03
domain	ncjpowerjfn.in	—	2018-05-03
domain	ncjsite.tk	—	2018-05-03
domain	ncjsitefjrdsw.info	—	2018-05-03
domain	nrjdswsitesrv.nl	—	2018-05-03
domain	nrjmainncjjfn.nl	—	2018-05-03
domain	nrjncdn.com	—	2018-05-03
domain	nrjncj.info	—	2018-05-03
domain	nrjncjsite.in	—	2018-05-03
domain	nrjpbnikjdsw.cn	—	2018-05-03
domain	nrjpowerncjfjrsrv.fr	—	2018-05-03
domain	pbnkcnjfnikjserv.org	—	2018-05-03
domain	pbnmainyhd.fr	—	2018-05-03
domain	pbnncdnjfnsrv.info	—	2018-05-03
domain	pbnpbn.us	—	2018-05-03
domain	pbnservserv.info	—	2018-05-03
domain	pbnsrvncdn.us	—	2018-05-03
domain	powerikjpbnnrjncdn.nl	—	2018-05-03
domain	powerncdnsitepoweryhd.info	—	2018-05-03
domain	powernrjpowermainkcn.com	—	2018-05-03
domain	powerpbnkcn.us	—	2018-05-03
domain	powerservmain.org	—	2018-05-03
domain	powersitepbnserv.biz	—	2018-05-03
domain	servdswncjkcn.ru	—	2018-05-03
domain	servfjrmainmainsrv.nl	—	2018-05-03
domain	servfjrpbndsw.ru	—	2018-05-03
domain	servkcnkcn.info	—	2018-05-03
domain	servpower.in	—	2018-05-03
domain	servpowerdswncjncj.info	—	2018-05-03
domain	servsitemainsrv.biz	—	2018-05-03
domain	sitedswikj.ru	—	2018-05-03
domain	sitedswncjdswyhd.ro	—	2018-05-03
domain	sitekcnncdnservsrv.nl	—	2018-05-03
domain	sitemainpbn.us	—	2018-05-03
domain	sitencj.cn	—	2018-05-03
domain	sitencjsrvsrvnrj.com	—	2018-05-03
domain	sitencjyhd.com	—	2018-05-03
domain	siteservikj.com	—	2018-05-03
domain	siteservkcn.in	—	2018-05-03
domain	sitesitepowerpbn.org	—	2018-05-03
domain	sitesitesite.us	—	2018-05-03
domain	srvikjikj.info	—	2018-05-03
domain	srvkcnncdnikj.nl	—	2018-05-03
domain	srvkcnnrjyhd.fr	—	2018-05-03
domain	srvncj.co	—	2018-05-03
domain	srvnrjsite.co	—	2018-05-03
domain	srvpowerpbn.us	—	2018-05-03
domain	srvsitesrvnrj.ro	—	2018-05-03
domain	yhddsw.biz	—	2018-05-03
domain	yhddswnrjjfn.nl	—	2018-05-03
domain	yhdfjrkcnyhdserv.co	—	2018-05-03
domain	yhdjfnservjfn.info	—	2018-05-03
domain	yhdncdnfjr.in	—	2018-05-03
domain	yhdncjsitekcn.info	—	2018-05-03
domain	yhdpbndswjfn.ru	—	2018-05-03
domain	yhdserv.in	—	2018-05-03
hostname	www.dswfjrncdn.info	—	2018-05-03
hostname	www.dswmain.fr	—	2018-05-03
hostname	www.dswncjnrjnrj.fr	—	2018-05-03
hostname	www.fjrkcnpowerjfnyhd.info	—	2018-05-03
hostname	www.fjrnrjncj.cn	—	2018-05-03
hostname	www.ikjikj.fr	—	2018-05-03
hostname	www.ikjncdnfjr.ro	—	2018-05-03
hostname	www.ikjpbnsrv.info	—	2018-05-03
hostname	www.ikjpowernrjikj.fr	—	2018-05-03
hostname	www.kcnikjnrj.in	—	2018-05-03
hostname	www.kcnncdn.in	—	2018-05-03
hostname	www.kcnncdn.nl	—	2018-05-03
hostname	www.kcnpecdbnserv.org	—	2018-05-03
hostname	www.mainnrjfjrfjr.fr	—	2018-05-03
hostname	www.ncdnkcnikjyhd.ru	—	2018-05-03
hostname	www.ncjdsw.in	—	2018-05-03
hostname	www.ncjjfn.org	—	2018-05-03
hostname	www.ncjmainfjr.info	—	2018-05-03
hostname	www.ncjpower.nl	—	2018-05-03
hostname	www.ncjsrvncjpower.fr	—	2018-05-03
hostname	www.nrjjfnncdndswfjr.tk	—	2018-05-03
hostname	www.nrjjfnpower.cn	—	2018-05-03
hostname	www.nrjnrjfjr.info	—	2018-05-03
hostname	www.nrjsitekcnserv.info	—	2018-05-03
hostname	www.pbnpbnsrvdsw.nl	—	2018-05-03
hostname	www.powerdswpbnnrj.biz	—	2018-05-03
hostname	www.powerjfnikj.nl	—	2018-05-03
hostname	www.powerpbn.nl	—	2018-05-03
hostname	www.powerpowerjfn.nl	—	2018-05-03
hostname	www.powerservdswservpower.in	—	2018-05-03
hostname	www.servncjmain.org	—	2018-05-03
hostname	www.servnrjncdnikjsrv.in	—	2018-05-03
hostname	www.siteikjncjyhd.info	—	2018-05-03
hostname	www.sitepbnkcnsrvjfn.fr	—	2018-05-03
hostname	www.sitepowersrv.fr	—	2018-05-03
hostname	www.srvfjrkcnikj.co	—	2018-05-03
hostname	www.srvncjservnrj.us	—	2018-05-03
hostname	www.srvservsrvnrjpower.cn	—	2018-05-03
hostname	www.srvyhdsitekcn.cn	—	2018-05-03
hostname	www.yhdsite.com	—	2018-05-03

References (1)

↗ https://www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia