{
	"id": "5e836fb6-78a0-4f28-9739-40485e5631ae",
	"created_at": "2026-04-06T00:15:07.410572Z",
	"updated_at": "2026-04-10T13:12:03.631268Z",
	"deleted_at": null,
	"sha1_hash": "0a93c55b24c514cc021e9989662b5bfd12418b61",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2694961,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 16:02:49 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виявлено файл\r\n\"довідка.zip\", який містить файл контекстної довідки (Microsoft Compiled HTML Help) \"dovidka.chm\".\r\nЗгаданий CHM-файл, у свою чергу, містить зображення-приманку \"image.jpg\" (довідка про порядок дій під\r\nчаст артилерійських обстрілів) та HTA-файл \"file.htm\" зі шкідливим програмним кодом на мові VBScript.\r\nВиконання останнього призведе до створення на комп'ютері і запуску дропера \"ignit.vbs\", який забезпечить\r\nдекодування .NET-лоадеру \"core.dll\", а також файлів \"desktop.ini\" (виконує запуск \"core.dll\" за допомогою\r\nregasm.exe) і \"Windows Prefetch.lNk\", який забезпечує запуск раніше згаданого \"desktop.ini\" за допомогою\r\nwscript.exe.\r\nНасамкінець, .NET-лоадер здійснить декодування і виконання шкідливої програми MicroBackdoor.\r\nЗауважимо, що дати компіляції бекдору та лоадеру - 28.01.2022 і 31.01.2022, відповідно; крім того, домен,\r\nщо використовується сервером управління, створено 12.01.2022. Слід додати, що окрім стандартних\r\nкоманд (\"id\", \"info\", \"ping\", \"exit\", \"upd\", \"uninst\", \"exec\", \"shell\", \"flist\", \"fget\", \"fput\"), в цій версії бекдору\r\nдодатково реалізовано команду \"screenshot\".\r\nАктивність асоційовано з діяльністю групи UAC-0057, також відомою як unc1151 (за даними Mandiant).\r\nІндикатори компрометації \r\nФайли: \r\ne34d6387d3ab063b0d926ac1fca8c4c4довідка.zip\r\n2556a9e1d5e9874171f51620e5c5e09adovidka.chm\r\nbc6932a0479045b2e60896567a37a36cfile.htm\r\nbd65d0d59f6127b28f0af8a7f2619588ignit.vbs\r\nfb418bb5bd3e592651d0a4f9ae668962Windows Prefetch.lNk\r\na9dcaf1c709f96bc125c8d1262bac4b6desktop.ini\r\nd2a795af12e937eb8a89d470a96f15a5core.dll (.NET-лоадер)\r\n65237e705e842da0a891c222e57fe095microbackdoor.dll (MicroBackdoor)\r\nМережеві: \r\nxbeta[.]online:8443\r\n185[.]175.158.27\r\nХостові: \r\nhttps://cert.gov.ua/article/37626\r\nPage 1 of 2\n\n%PUBLIC%\\ignit.vbs\r\n%PUBLIC%\\Favorites\\desktop.ini\r\n%PUBLIC%\\Libraries\\core.dll\r\n%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\Windows Prefetch.lNk\r\nwscript.exe //B //E:vbs C:\\Users\\Public\\Favorites\\desktop.ini\r\nC:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\regasm.exe /U C:\\Users\\Public\\Libraries\\core.dll\r\nДодаткова інформація \r\nMicroBackdoor - публічно доступна програма-бекдор, розроблена з використанням мови програмування\r\nC++. Автор: cr4sh (aka Dmytro Oleksiuk). Функціонал: id, info, ping, exit, upd, uninst, exec, shell, flist, fget,\r\nfput, screenshot (реалізовано окремо членами групи UAC-0057/unc1151). Серверна частина розроблена з\r\nвикористанням мови програмування Python та надає простий веб-інтерфейс для управління ботами.\r\nПерсистентність: ключ Run реєстру Windows. Комунікація між ботом та сервером зашифрована за\r\nдопомогою RC4.\r\nГрафічні зображення\r\nРис. 1 Приклад шкідливих файлів та зображення-приманки\r\nSource: https://cert.gov.ua/article/37626\r\nhttps://cert.gov.ua/article/37626\r\nPage 2 of 2",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://cert.gov.ua/article/37626"
	],
	"report_names": [
		"37626"
	],
	"threat_actors": [
		{
			"id": "f29188d8-2750-4099-9199-09a516c58314",
			"created_at": "2025-08-07T02:03:25.068489Z",
			"updated_at": "2026-04-10T02:00:03.827361Z",
			"deleted_at": null,
			"main_name": "MOONSCAPE",
			"aliases": [
				"TA445 ",
				"UAC-0051 ",
				"UNC1151 "
			],
			"source_name": "Secureworks:MOONSCAPE",
			"tools": [],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "119c8bea-816e-4799-942b-ff375026671e",
			"created_at": "2022-10-25T16:07:23.957309Z",
			"updated_at": "2026-04-10T02:00:04.807212Z",
			"deleted_at": null,
			"main_name": "Operation Ghostwriter",
			"aliases": [
				"DEV-0257",
				"Operation Asylum Ambuscade",
				"PUSHCHA",
				"Storm-0257",
				"TA445",
				"UAC-0051",
				"UAC-0057",
				"UNC1151",
				"White Lynx"
			],
			"source_name": "ETDA:Operation Ghostwriter",
			"tools": [
				"Agentemis",
				"Cobalt Strike",
				"CobaltStrike",
				"HALFSHELL",
				"Impacket",
				"RADIOSTAR",
				"VIDEOKILLER",
				"cobeacon"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "8a33d3ac-14ba-441c-92c1-39975e9e1a73",
			"created_at": "2023-01-06T13:46:39.195689Z",
			"updated_at": "2026-04-10T02:00:03.243054Z",
			"deleted_at": null,
			"main_name": "Ghostwriter",
			"aliases": [
				"UAC-0057",
				"UNC1151",
				"TA445",
				"PUSHCHA",
				"Storm-0257",
				"DEV-0257"
			],
			"source_name": "MISPGALAXY:Ghostwriter",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434507,
	"ts_updated_at": 1775826723,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/0a93c55b24c514cc021e9989662b5bfd12418b61.pdf",
		"text": "https://archive.orkl.eu/0a93c55b24c514cc021e9989662b5bfd12418b61.txt",
		"img": "https://archive.orkl.eu/0a93c55b24c514cc021e9989662b5bfd12418b61.jpg"
	}
}