TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

米国、ヨーロッパ、アジアの医療業界を狙う新しい攻撃グループ「Orangeworm」を確認

【図表】

f:id:tanigawa:20180506183027j:plain
コマンド一覧
出典: https://www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia


【ブログ】

◆米国、ヨーロッパ、アジアの医療業界を狙う新しい攻撃グループ「Orangeworm」を確認 (Symantec, 2018/04/23)

Orangeworm という新しい攻撃グループが、医療業界やその関連業界を狙った標的型攻撃でバックドア Kwampirs を拡散していることを、シマンテックは確認しました。

https://www.symantec.com/connect/ja/blogs/orangeworm

◆New Orangeworm attack group targets the healthcare sector in the U.S., Europe, and Asia (Symantec, 2018/04/23)
https://www.symantec.com/blogs/threat-intelligence/orangeworm-targets-healthcare-us-europe-asia


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)
  ◆標的型攻撃マルウェア (まとめ)

◆Kwampirs (まとめ)
https://malware-log.hatenablog.com/entry/Kwampirs


【インディケータ情報】

■ハッシュ情報(MD5) - Kwampirs Dropper -

0240ed7e45567f606793dafaff024acf
047f70dbac6cd9a4d07abef606d89fb7
177bece20ba6cc644134709a391c4a98
2ae53de1a1f65a6d57e96dab26c73cda
3b3a1062689ffa191e58d5507d39939d
3bedc1c4c1023c141c2f977e846c476e
47345640c135bd00d9f2969fabb4c9fa
6277e675d335fd69a3ff13a465f6b0a8
7e5f76c7b5bf606b0fdc17f4ba75de03
81e61e5f44a6a476983e7a90bdac6a55
847459c8379250d8be2b2d365be877f5
856683aee9687f6fdf00cfd4dc4c2aef
b59e4942f7c68c584a35d59e32adce3a
b680b119643876286030c4f6134dc4e3
cb9954509dc82e6bbed2aee202d88415
ce3894ee6f3c2c2c828148f7f779aafe
fac94bc2dcfbef7c3b248927cb5abf6d

(以上は Symantec の情報: 引用元は https://content.connect.symantec.com/sites/default/files/2018-04/Orangeworm%20IOCs.pdf )



■ハッシュ情報(MD5) - Kwampirs DLL -

01cf05a07af57a7aafd0ad225a6fd300
134846465b8c3f136ace0f2a6f15e534
290d8e8524e57783e8cc1b9a3445dfe9
3289c9a1b534a19925a14a8f7c39187c
4b91ec8f5d4a008dd1da723748a633b6
5c3499acfe0ad7563b367fbf7fb2928c
939e76888bdeb628405e1b8be963273c
9d2cb9d8e73fd879660d9390ba7de263
9d3839b39d699336993df1dd4501892b
bb939a868021db963916cc0118aab8ee
bbd9e4204514c66c1babda178c01c213
d57df638c7befd7897c9013e90b678f0
de9b01a725d4f19da1c1470cf7a948ee
ec968325394f3e6821bf90fda321e09b
ee4206cf4227661d3e7ec846f0d69a43
fece72bd41cb0e06e05a847838fbde56

(以上は Symantec の情報: 引用元は https://content.connect.symantec.com/sites/default/files/2018-04/Orangeworm%20IOCs.pdf )


■IPアドレス

65.116.107.24
13.44.61.126
56.28.111.63
118.71.138.69
117.32.65.101
18.25.62.70
92.137.43.17
33.25.72.21
16.48.37.37
91.29.51.11

(以上は Symantec の情報: 引用元は https://content.connect.symantec.com/sites/default/files/2018-04/Orangeworm%20IOCs.pdf )

■URL

hxxp://65.116.107.24/login/login.php?q=kt[REDACTED_BASE64_STRING]==
hxxp://13.44.61.126/main/indexmain.php?q=KT[REDACTED_BASE64_STRING]==
hxxp://56.28.111.63/group/group/defaultmain.php?q=KT[REDACTED_BASE64_STRING]==
hxxp://118.71.138.69/new/main/default.php?q=KT[REDACTED_BASE64_STRING]==
hxxp://117.32.65.101/users/login.php?q=kt[REDACTED_BASE64_STRING]==
hxxp://18.25.62.70/groupgroup/default.php?q=kt[REDACTED_BASE64_STRING]==
hxxp://92.137.43.17/group/group/home/login/home.php?q=KT[REDACTED_BASE64_STRING]==
hxxp://33.25.72.21/group/main.asp?q=KT[REDACTED_BASE64_STRING]==
hxxp://16.48.37.37/groupusers/default.php?q=kt[REDACTED_BASE64_STRING]==
hxxp://91.29.51.11/default/main.php?q=KT[REDACTED_BASE64_STRING]==

(以上は Symantec の情報: 引用元は https://content.connect.symantec.com/sites/default/files/2018-04/Orangeworm%20IOCs.pdf )


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023