{ "id": "1afe17dc-cd71-446d-b107-52f67bce1751", "created_at": "2026-04-06T00:09:09.425455Z", "updated_at": "2026-04-10T13:11:54.587487Z", "deleted_at": null, "sha1_hash": "1c59d5da2928cc4918ec468d55d86585970aa46f", "title": "CERT-UA", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 954161, "plain_text": "CERT-UA\r\nArchived: 2026-04-05 23:05:51 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA з 19.07.2022\r\nфіксуються факти масового розсилання електронних листів з темою \"Остаточний платіж\" та одноіменним\r\nвкладенням у вигляді TGZ-архіву.\r\nАрхів містить EXE-файл, що класифіковано як .NET-даунлоадер RelicRace, призначений для завантаження\r\n(здебільшого з OneDrive), декодування та запуску в пам'яті шкідливої .NET-програми RelicSource.\r\nRelicSource функціонально є інсталятором, що забезпечує дешифрування даних, які зберігаються в\r\nресурсах (можливі варіанти: XOR/DES/DES3/AES/ARC2) та запуск (в т.ч. шляхом інжектування)\r\nотриманого пейлоаду. Передбачено декілька способів забезпечення персистентності, імплементовано\r\nтехніки антианалізу (виявлення VM), а також відправка нотифікацій до Telegram та інше.\r\nЯк пейлоад використовуються програми-стілери, а саме: Formbook та Snake Keylogger (ексфільтрація за\r\nдопомогою API Telegram).\r\nАктивність має систематичний, масовий та географічно розосереджений характер і відстежується за\r\nідентифікатором UAC-0041.\r\nІндикатори компрометації\r\nФайли:\r\n538efbb51d22ab4ee22525b17e0e38d8 ca0c1e2011c1229ab3e369079dfb176ff57b64c54e72e900a9e6e32fe0aad1ad\r\n4ab25362247f8a6eb514e80542da4184 1d9aa41d306e5fd6c6ae7d0e6fc518de8d85a45e64a660820023a40234100690\r\n22133c78289867c714dc8d2058003470 39fd4cb19145bc84f60b9ce160a872bae5217396b28819725ed008bbdbd026d0\r\ne21b77a652fa5b52f83ea2bb5adf3e88 60d2f8bc8fd84aae4e0bc4a1c59f95fd6e47d521ec3b9fc78a9eff09e08873da\r\n3f7a9d78d7126c5ebb92b09a7077cf5b 704b0ac0db2351f5fbc213ecb4193f96e37600a5b28992eaf961ea1b9bc39f8f\r\n9e209ae96f1efc0bf7e7df50ae359659 385cf7391e9edbe025702e55e488f6b706cfba3bc60a9158f6bfa8b04456b34a\r\n9ca8df76fca206d90505afc1679ed997 2d3b9f680c4da580ef2e86302e42f4a98965e464b3e3419eb0d17ee8f12f1241\r\n8c7fd60c8dd2ca3ec68684f429e1e5a2 150d21ebf144edea3f56e4a527d2e80458807e0f354d5c9e9b268aded72a2ce0\r\n23d5d360f42203ab62ccdb1cc3a83f79 522833f73d833d6241ea7432376fd8ab4dfc17ed18330a9c5d197faa217d1f0b\r\nd62ae54fff793497fb9068e7349b02f4 ed7cffa33cba2ae44d44f61137d598743a1e9a3c20a66d5a77381e39846ad3be\r\nМережеві:\r\nclientes@taximadridclass.com\r\ninfo@kivanclardokum.com.tr\r\nhXXps://onedrive.live[.]com/download?cid=3E1A8C2E090A51B7\u0026resid=3E1A8C2E090A51B7!282\u0026authkey=AIikDor1\r\nhttps://cert.gov.ua/article/955924\r\nPage 1 of 2\n\nhXXps://onedrive.live[.]com/download?cid=12A9EBEC0272967B\u0026resid=12A9EBEC0272967B!364\u0026authkey=AK88T1gF\r\nhXXps://onedrive.live[.]com/download?cid=12A9EBEC0272967B\u0026resid=12A9EBEC0272967B!367\u0026authkey=AB5pQ7Ll\r\nhXXps://onedrive.live[.]com/download?cid=12A9EBEC0272967B\u0026resid=12A9EBEC0272967B!365\u0026authkey=ABQ0_o7N\r\nhXXps://onedrive.live[.]com/download?cid=3E1A8C2E090A51B7\u0026resid=3E1A8C2E090A51B7!283\u0026authkey=AEck4b6Q\r\nhXXps://onedrive.live[.]com/download?cid=12A9EBEC0272967B\u0026resid=12A9EBEC0272967B!369\u0026authkey=AK3mNivi\r\nhXXps://t[.]co/YLXVIKjfYf\r\nhXXp://barbacoalosmartinez[.]com/pg21/\r\nbarbacoalosmartinez[.]com\r\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/955924\r\nhttps://cert.gov.ua/article/955924\r\nPage 2 of 2", "extraction_quality": 1, "language": "EN", "sources": [ "Malpedia" ], "origins": [ "web" ], "references": [ "https://cert.gov.ua/article/955924" ], "report_names": [ "955924" ], "threat_actors": [], "ts_created_at": 1775434149, "ts_updated_at": 1775826714, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/1c59d5da2928cc4918ec468d55d86585970aa46f.pdf", "text": "https://archive.orkl.eu/1c59d5da2928cc4918ec468d55d86585970aa46f.txt", "img": "https://archive.orkl.eu/1c59d5da2928cc4918ec468d55d86585970aa46f.jpg" } }