RemoteUtilities IOCs

security IOC
Опубликовано

CERT-UA 22.01.2024 выявлены факты массового распространения электронных писем, якобы, от имени Госспецсвязи и ГСЧС Украины, содержащих RAR-архив или ссылки на Bitbucket и посвященных "видаленню вірусу" и "евакуації".

В случае открытия любого из файлов, в т.ч., загруженных с упомянутого веб-сервиса ("Електронний план евакуації.rar", "plan_dsns.gov.ua.rar", "CCleaner.rar"), в конечном случае будет выполнен MSI-инсталлятор "install.msi", который обеспечит установку на ЭВМ жертвы программы для удаленного управления RemoteUtilities (конфигурационный файл программы содержит 15 различных IP-адресов командно-контрольных серверов).

Согласно статистике Bitbucket, начиная с 23:00 21.01.2024 до 10:30 22.01.2024 вредоносные файлы были загружены более 3000 раз; количество успешно инфицированных ЭВМ может достигать нескольких десятков, в отношении подавляющего большинства которых CERT-UA приняты меры по противодействию киберугрозе.

Indicators of Compromise

IPv4

  • 109.107.182.200
  • 109.107.182.205
  • 109.107.182.207
  • 109.107.182.212
  • 109.107.182.232
  • 185.70.104.112
  • 185.70.104.90
  • 185.70.104.99
  • 5.42.92.30
  • 5.42.92.31
  • 5.42.92.32
  • 5.42.92.37
  • 5.42.92.44
  • 77.105.132.124
  • 77.105.132.70

IPv4 Port Combinations

  • 109.107.182.200:5651
  • 109.107.182.205:5651
  • 109.107.182.207:5651
  • 109.107.182.212:5651
  • 109.107.182.232:5651
  • 185.70.104.112:5651
  • 185.70.104.90:5651
  • 185.70.104.90:8080
  • 185.70.104.99:5651
  • 5.42.92.30:5651
  • 5.42.92.31:5651
  • 5.42.92.32:5651
  • 5.42.92.37:5651
  • 5.42.92.44:5651
  • 77.105.132.124:5651
  • 77.105.132.70:5651

Domains

  • 8161.uk

Domain Port Combinations

  • 8161.uk:5651

URLs

  • https://bitbucket.org/ccleaners/ccleaner/downloads/ccleaner.zip
  • https://bitbucket.org/dsnsgovua/dsns/downloads/plan_dsns.gov.ua.rar

MD5

  • 21e4a83a29d2ff9f76ec9bcf15ac4496
  • 3fe53d6864dab01448b5cf85f7a2e94d
  • 652c2a693b333504a3879460d0af7224
  • 958069ef4f14cd583df15964eaaa23b8
  • 96c5a1f7734e12ca8532ae046cd69657
  • 9b40a1519801020305e31e553a3e82ab
  • b223d29a27fc60f4c95645782a8d7699
  • f54fd78880d87f1021cefcdafb516ff8
  • fa3422ed5e94130186cf96bb960b2ec6

SHA256

  • 06956bb4eee98f34f035af11666459b2f9fc5f7485b2cf16f6afb17bfa15a061
  • 20ab498b278b14f3786f634778a04d219c74e9fd8517b98f4aca313c9934b7f2
  • 23eda7958cd22e11d5daa39d5a82e5740512c9435a138214b98d1925520bf8e8
  • 44cb295694f3332b31500c7d8408e6f93bb34a56617ae6850a205ed16c2a42a8
  • 5158482849c818c270f302c1dfa06d770ed2b5056cf393d60fd56817636866da
  • 68d5c1ce76e3461de065e61ade5428ab10eb1962aa9f2e89199823a033d5cbca
  • 760e2fd3e57186b597d40b996811768e6c4a28ca54685e029104fcf82f68238d
  • 81f06dbb373fcd1a156e6076d13a76088715dafaf1ee80ba3adddd1b973b65a2
  • f4015611de5e82e3f81a77b896af259d120f1ca956035378a3d9e51fba010669
Похожие записи:
  1. Remote Utilities IOCs
  2. Remcos RAT IOCs - Part 7
  3. RemcosRAT, QuasarRAT, RemoteUtilities IOCs
  4. SmokeLoader IOCs - Part 8
  5. Armageddon APT IOCs - Part 5
CERT-UA Remote Utilities
Добавить комментарий