Remote Utilities IOCs

security IOC

CERT-UA зафиксировано массовое распространение электронных писем якобы от имени Аппарата Совета национальной безопасности и обороны Украины с темой "RE: Критичне оновлення безпеки" и приложением в виде RAR-архива "KB5017371 оновлення системи безпеки.rar".

Упомянутый файл содержит изображение-приманку "інструкція Важливо прочитати.jpg" и сплит-архив, в котором находится исполняемый файл "KB5017371.exe".

Запуск последнего приведет к установке на компьютере жертвы программы для удаленного управления Remote Utilities.

Indicators of Compromise

IPv4

  • 101.99.91.158
  • 101.99.91.167
  • 101.99.91.170
  • 101.99.91.179
  • 101.99.91.19
  • 101.99.91.76
  • 101.99.93.104
  • 101.99.93.109
  • 111.90.148.190
  • 111.90.148.194
  • 111.90.148.197
  • 111.90.148.199
  • 77.91.100.6
  • 91.228.10.77

IPv4 Port Combinations

  • 101.99.91.158:5651
  • 101.99.91.167:5651
  • 101.99.91.170:5651
  • 101.99.91.179:5651
  • 101.99.91.19:5651
  • 101.99.91.76:5651
  • 101.99.93.104:5651
  • 101.99.93.109:8080
  • 111.90.148.190:5651
  • 111.90.148.194:5651
  • 111.90.148.194:8080
  • 111.90.148.197:8080
  • 111.90.148.199:5651

Emails

  • gromada@rnbo.gov.ua

MD5

  • 31c0bafc3f6e6c7322a7a32ac1bd87da
  • 5be0fe609359d9dd113fc82b6fcce66b
  • 68a63168426f28bc06c7c06eac6f09d5
  • 6a36f3948b8f792cb482ed7ac421eddd
  • 98c5d2fc5bb1c030ec3088256a92e669
  • 9a97b15080145f04dccd4eefd840ce82
  • b86b3825a783868b931d751e49168456
  • c023a80d2f03162c9a42e2dc4c0c0223
  • dc2971ca235967f7bc35020cdcc0c458
  • fbb871f89b5c0226fb3fcc3a7370b7bc
  • ff6e20a21d8fb81d7dfe8a68b59b78ff

SHA256

  • 011491318bf56b8c8c6ca6d4bbdd9439319cd54fd16dab1af24097146b969d90
  • 02003563373af3215195ca0c23af03f845921fcfa31f58770927266b03c2ac40
  • 2b46d4c1276c15a337a4eb4e9dd74df0e4559cd35c91bde0669e7793ddb6a5d5
  • 347653a9efc585661d05d7a2b41c8c8ca648f5aad71a1d580ffd8e00854491ef
  • 37faece347c415ae89182241e01f6be3f03eb0ae87af15284906b2ef5fa95ac9
  • 51cbc75ef2f4b4ae0febfe6b8dd50973132b19b12273e4703a9633b54b1f5e2a
  • 5344f51e60703ea3bb02f791b8994bab49dc3fa2afb96752cf3391eadbe3089c
  • 5e7f71139e0bb438e0f6876fb077f35d4f83f4d9d30e56c5db9563720ff24d79
  • 6b47e87c631bbf2e48013a68f6497e4ea18220f59c53882b6b57377204a20ccf
  • 9e19ff6a1fb3442a44671d3c7fcf49261fe736882d8e8e25cfc333fe04d6ea83
  • f2a5023cd559597a1b70a7e02345fb9c80b740377fcf7341d5df2d462efafda5
SEC-1275-1
Добавить комментарий