{
	"id": "d6b67dd3-0dfb-42fe-8c98-e7c253b3b64b",
	"created_at": "2026-04-06T00:15:56.734388Z",
	"updated_at": "2026-04-10T03:27:56.167326Z",
	"deleted_at": null,
	"sha1_hash": "210d36a3aa461fa51e10db19b4fc914ca21986cd",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 4854029,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 15:10:10 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA у взаємодії з Центром\r\nкібернетичної безпеки інформаційно-телекомунікаційних систем військової частини А0334 (ЦКБ ІТС в/ч\r\nА0334) вжито заходів з дослідження цілеспрямованої кібератаки, що полягала у спробі ураження\r\nшкідливим програмним забезпеченням ЕОМ представників Сил оборони України.\r\nТак, 22.02.2024 невстановленою особою за допомогою месенджеру Signal серед декількох\r\nвійськовослужбовців розповсюджено XLS-документ \"1_ф_5.39-2024.xlsm\" з повідомленням про, нібито,\r\nпроблеми з формуванням звітності. Окрім легітимного макросу, згаданий документ містив додатковий\r\nпрограмний VBA-код, який забезпечував запуск PowerShell-команди, призначеної для завантаження,\r\nдекодування та виконання PowerShell-сценарію \"mob2002.data\".\r\nЗавантажений з Github PowerShell-скрипт здійснює модифікацію реєстру операційної системи, зокрема:\r\nзапис основного пейлоаду в base64-кодованому вигляді в гілку\r\n\"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\XboxCache\" (значення: \"db1\"..\"db27\")\r\nзапис декодеру-лаунчеру в base64-кодованому вигляді в гілку\r\n\"HKEY_CURRENT_USER\\SOFTWARE \\Microsoft\\XboxCache\" (значення: \"db\")\r\nстворення ключа 'xbox' в гілці автозапуску 'Run' зі значенням у вигляді PowerShell-команди \"cmd /c\r\nstart /min \"\" powershell -windowStyle hidden -c(powershell -windowStyle hidden -enC(gpv -Name 'db' -\r\nPath 'HKCU:\\SOFTWARE\\Microsoft\\XboxCache'))\", що призначена для запуску декодера, який\r\nзабезпечить виконання основного пейлоаду\r\nЗазначений вище основний пейлоад, після декодування, містить черговий PowerShell-скрипт, який\r\nздійснить GZIP-декомпресію та запуск шкідливої програми COOKBOX.\r\nCOOKBOX - PowerShell-сценарій, що реалізує функціонал завантаження та виконання PowerShell-командлетів. Для кожної ураженої ЕОМ обчислюється унікальний ідентифікатор з використанням\r\nкриптографічних перетворень (хеш-функцій SHA256/MD5) на основі комбінації значень імені комп'ютера\r\nта серійного номеру диску, який, під час взаємодії з сервером управління, передається в заголовку \"X-Cookie\" HTTP-запитів. Персистентність бекдору забезпечується відповідним ключем в гілці Run реєстру\r\nопераційної системи (ОС), який створюється на етапі первинного ураження стороннім PowerShell-скриптом (в т.ч., COOKBOX deployer'ом). Зазвичай, в програмному коді використовуються елементи\r\nобфускації: chr-кодування символів, заміна символів (replace()), base64-перетворення, GZIP-компресія.\r\nДля функціонування інфраструктури серверів управління використовуються сервіси динамічного DNS\r\n(наприклад, gotdns.ch, myftp.biz) та Cloudflare Workers.\r\nhttps://cert.gov.ua/article/6277849\r\nPage 1 of 4\n\nОписана активність здійснюється, щонайменше, з осені 2023 року, має точковий характер та відстежується\r\nза ідентифікатором UAC-0149.\r\nЗ огляду на типовість тактик, технік та процедур, успішна реалізація описаної загрози можлива у\r\nвідношенні тих ЕОМ, на яких системними адміністраторами (адміністраторами безпеки) ще й досі не\r\nналаштовано елементарні безпекові політики, зокрема, блокування спроб запуску утиліт cmd.exe,\r\npowershell.exe, mshta.exe, w(c)script.exe, hh.exe та інших як в цілому, так і за умови, якщо батьківським є\r\nпроцес однієї з програм Microsoft Office (наприклад, EXCEL.EXE).\r\nЗауважимо, що в одному з випадків ураженню ЕОМ вдалося запобігти завдяки завчасно інстальованій\r\nтиповій для ЗСУ технології захисту (EDR), про необхідність невідкладного встановлення якої було\r\nнеодноразово наголошено CERT-UA.\r\nНайбільш актуальна та вичерпна інформація щодо порядку захисту ІКС Сил оборони України, в т.ч,\r\nстосовно згаданих технологій, може бути отримана в ЦКБ ІТС в/ч А0334.\r\nІндикатори кіберзагроз\r\nФайли:\r\n9654451a766b27fb9e678d47094d7dd7  894cd78af8e3ccf3bd19515bb2b60434012fcdaad896d9fde9d49eaa98866eef\r\n32091993b1a864ec259429880d4c2809  5b2cbeec241ea3ce083e2adab5878f8ea982084f9a7674714cd4627f118c182d\r\n0ff0c9228a98dd55a4ab51ade7bfe10e  9309c2833242182b592d253fcb19c15c625425f614bdd614d1ffbb54f5c25f9a\r\ndf167cd8a13e75585c5aecb6e57a4326  d80526421527f63d3b7fdf60b980b31871526c905f9d6d0f4f3c1073b42773ba\r\n3d33bcef89039dba97ef243cc193d8a7  1f2057b60a31708fb397c6b27539d8643ae0e8d87cb26cb0256411da14d98c67\r\nf4efa1840c2fb39ebf8d6b1325617b3c  383023689bb2af75da5337ae864dd430086e2d7d7855a65b25f7682c344e082b\r\na32eebda67c5de1402b539e4ae51a37b  e3b916c2bd7c09a9ecb3737be615b8f4560f1bde495506e3ff67b839a65054b9\r\n6854d326b3756b92708b5658b2a3313a  f0b356b8485b2656da8ae4ecd13b64166da3c446bc0be124aad216b8688aa618\r\n5d9ab0fba328c0fb07f1ee1794c702ef  fd791cae012145402c8fb903fbe29a91f56cd1c0a3e98203241701dc5f456d83\r\nc2a31573662e0b608f8c83016490822c  3293f76da5fa85d4a2b76a0eab30f11e4d61b81e8b4ad14efffa027d8d5f8aee\r\n52ee3c6259c5aa85ece1037f7d76fd73  7bf2288b72775b7dc4b992d17b5dcbc0d6d6a6b1a049c3ec725b1d1f299bb88a\r\nc4055568bcedad91df2ac5616395a823  c630b95cee017b3d2536074ead8278e5415a3e6ff9dc21cd88c59d5d3a11c6dc\r\nba1f2511fc30423bdbb183fe33f3dd0f  181210f8f9c779c26da1d9b2075bde0127302ee0e3fca38c9a83f5b1dd8e5d3b\r\nХостові:\r\nHKEY_CURRENT_USER\\Environment\\XBoxD\r\nHKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\'xbox'\r\nHKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\XboxCache\r\nHKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\XboxCache\\'db'\r\ncmd /c start /min \"\" powershell -windowStyle hidden -c(powershell -windowStyle hidden -enC(gpv -Name\r\nC:\\Windows\\System32\\cmd.exe /c start /min \"\" powershell -windowStyle hidden -c (powershell -windowSty\r\nМережеві:\r\nhttps://cert.gov.ua/article/6277849\r\nPage 2 of 4\n\nhXXps://shorturl[.]at/uvcpv\r\nhXXps://github[.]com/kekpelmeshek/testdatasearch/raw/main/mob2002.data\r\nhXXps://raw.githubusercontent[.]com/kekpelmeshek/testdatasearch/main/mob2002.data\r\nhXXp://array.myftp[.]biz\r\nhXXp://bom02.gotdns[.]ch\r\nhXXp://worker-test-6f41.idv64828.workers[.]dev\r\narray.myftp[.]biz\r\nbom02.gotdns[.]ch\r\nworker-test-6f41.idv64828.workers[.]dev\r\n34.199.8.144 (DDNS IP)\r\nГрафічні зображення\r\nРис.1 Ланцюг ураження\r\nhttps://cert.gov.ua/article/6277849\r\nPage 3 of 4\n\nРис.2 Приклад BAT-скрипта, що призначений для запуску COOKBOX\r\nSource: https://cert.gov.ua/article/6277849\r\nhttps://cert.gov.ua/article/6277849\r\nPage 4 of 4",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"MISPGALAXY",
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/6277849"
	],
	"report_names": [
		"6277849"
	],
	"threat_actors": [
		{
			"id": "a1c739f9-e0b5-4a58-a720-1d88b318641b",
			"created_at": "2024-04-23T02:00:04.251052Z",
			"updated_at": "2026-04-10T02:00:03.633106Z",
			"deleted_at": null,
			"main_name": "UAC-0149",
			"aliases": [],
			"source_name": "MISPGALAXY:UAC-0149",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434556,
	"ts_updated_at": 1775791676,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/210d36a3aa461fa51e10db19b4fc914ca21986cd.pdf",
		"text": "https://archive.orkl.eu/210d36a3aa461fa51e10db19b4fc914ca21986cd.txt",
		"img": "https://archive.orkl.eu/210d36a3aa461fa51e10db19b4fc914ca21986cd.jpg"
	}
}