IoC (TT Malware Log)

Malware の IoC(Indicator)情報

◆注意◆ マルウェア解析専析家向けサイト

     FQDN, URL,IPアドレス等はそのまま掲載しています


** Caution ** Malware expert site

                    FQDN, URL, IP address etc. are posted as they are

トップ > 脆弱性: CVE-2021-30116 > Kaseya / CVE-2021-30116 (まとめ)

Kaseya / CVE-2021-30116 (まとめ)

脆弱性: CVE-2021-30116 インシデント: Kaseya 攻撃組織: Sodinokibi / REvil IoC: MD5 IoC: URL IoC: IPアドレス **まとめ

【インディケータ情報】

■ハッシュ情報(MD5) - ランサムウェア -

939aae3cc456de8964cb182c75a5f8cc
561cffbaba71a6e8cc1cdceda990ead4
a47cf00aedf769d60d58bfe00c0b5421

(以上は kaseya の情報: 引用元は https://helpdesk.kaseya.com/hc/en-gb/articles/4403584098961-Incident-Overview-Technical-Details)

MD5 備考
939aae3cc456de8964cb182c75a5f8cc agent.crt (エンコードされた悪意のあるコンテンツ)
561cffbaba71a6e8cc1cdceda990ead4 agent.exe (agent.crtのデコードされたコンテンツ)
a47cf00aedf769d60d58bfe00c0b5421 mpsvc.dll (ランサムウェアのペイロード)


■IPアドレス情報

35.226.94.113
161.35.239.148
162.253.124.162

(以上は kaseya の情報: 引用元は https://helpdesk.kaseya.com/hc/en-gb/articles/4403584098961-Incident-Overview-Technical-Details)


■url情報

POST /dl.asp curl / 7.69.1
GET /done.asp curl / 7.69.1
POST /cgi-bin/KUpload.dll curl / 7.69.1
GET /done.asp curl / 7.69.1
POST / cgi-bin / KUpload.dll curl / 7.69.1
POST /userFilterTableRpt.asp curl / 7.69.1

(以上は kaseya の情報: 引用元は https://helpdesk.kaseya.com/hc/en-gb/articles/4403584098961-Incident-Overview-Technical-Details)


【検索】

google: CVE-2021-30116
google:news: CVE-2021-30116

google: 35.226.94.113
google: 161.35.239.148
google: 162.253.124.162