CERT-UA зафиксировано массовое распространение электронных писем якобы от имени Аппарата Совета национальной безопасности и обороны Украины с темой "RE: Критичне оновлення безпеки" и приложением в виде RAR-архива "KB5017371 оновлення системи безпеки.rar".
Упомянутый файл содержит изображение-приманку "інструкція Важливо прочитати.jpg" и сплит-архив, в котором находится исполняемый файл "KB5017371.exe".
Запуск последнего приведет к установке на компьютере жертвы программы для удаленного управления Remote Utilities.
Indicators of Compromise
IPv4
- 101.99.91.158
- 101.99.91.167
- 101.99.91.170
- 101.99.91.179
- 101.99.91.19
- 101.99.91.76
- 101.99.93.104
- 101.99.93.109
- 111.90.148.190
- 111.90.148.194
- 111.90.148.197
- 111.90.148.199
- 77.91.100.6
- 91.228.10.77
IPv4 Port Combinations
- 101.99.91.158:5651
- 101.99.91.167:5651
- 101.99.91.170:5651
- 101.99.91.179:5651
- 101.99.91.19:5651
- 101.99.91.76:5651
- 101.99.93.104:5651
- 101.99.93.109:8080
- 111.90.148.190:5651
- 111.90.148.194:5651
- 111.90.148.194:8080
- 111.90.148.197:8080
- 111.90.148.199:5651
Emails
- gromada@rnbo.gov.ua
MD5
- 31c0bafc3f6e6c7322a7a32ac1bd87da
- 5be0fe609359d9dd113fc82b6fcce66b
- 68a63168426f28bc06c7c06eac6f09d5
- 6a36f3948b8f792cb482ed7ac421eddd
- 98c5d2fc5bb1c030ec3088256a92e669
- 9a97b15080145f04dccd4eefd840ce82
- b86b3825a783868b931d751e49168456
- c023a80d2f03162c9a42e2dc4c0c0223
- dc2971ca235967f7bc35020cdcc0c458
- fbb871f89b5c0226fb3fcc3a7370b7bc
- ff6e20a21d8fb81d7dfe8a68b59b78ff
SHA256
- 011491318bf56b8c8c6ca6d4bbdd9439319cd54fd16dab1af24097146b969d90
- 02003563373af3215195ca0c23af03f845921fcfa31f58770927266b03c2ac40
- 2b46d4c1276c15a337a4eb4e9dd74df0e4559cd35c91bde0669e7793ddb6a5d5
- 347653a9efc585661d05d7a2b41c8c8ca648f5aad71a1d580ffd8e00854491ef
- 37faece347c415ae89182241e01f6be3f03eb0ae87af15284906b2ef5fa95ac9
- 51cbc75ef2f4b4ae0febfe6b8dd50973132b19b12273e4703a9633b54b1f5e2a
- 5344f51e60703ea3bb02f791b8994bab49dc3fa2afb96752cf3391eadbe3089c
- 5e7f71139e0bb438e0f6876fb077f35d4f83f4d9d30e56c5db9563720ff24d79
- 6b47e87c631bbf2e48013a68f6497e4ea18220f59c53882b6b57377204a20ccf
- 9e19ff6a1fb3442a44671d3c7fcf49261fe736882d8e8e25cfc333fe04d6ea83
- f2a5023cd559597a1b70a7e02345fb9c80b740377fcf7341d5df2d462efafda5