{ "id": "49656adb-3cf6-4700-8dc9-2836abbbdbb6", "created_at": "2026-04-06T00:10:27.934638Z", "updated_at": "2026-04-10T03:37:04.422213Z", "deleted_at": null, "sha1_hash": "2ac2ed44a463bcf1dbd5070c38e70af03bc1231c", "title": "CERT-UA", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 304875, "plain_text": "CERT-UA\r\nArchived: 2026-04-05 16:13:46 UTC\r\nCERT-UA при дослідженні інформації про кіберінциденти спостерігає збільшення кількості кібератак з\r\nвикористанням шкідливого програмного забезпечення (далі - ШПЗ) Pterodo хакерського угрупування\r\nArmageddon/Gamaredon, яке пов’язують з урядом РФ.\r\nВ зазначеній статті наведено результати дослідження декількох семплів ШПЗ Pterodo, які\r\nвикористовувались у недавніх кібератаках на державні органи України.\r\nСценарій 1\r\nОсобливістю кібератак було використання для розповсюдження інфікованих файлів «Microsoft Word»\r\nсистеми електронного документообігу на базі програмного забезпечення «АСКОД», яку використовує\r\nвелика кількість організацій України.\r\nСценарій атаки наступний. \r\nЗловмисники надсилають інфіковані документи до організації, які використовують «АСКОД». Для цього\r\nможуть використовуватись або скомпрометовані облікові записи користувачів «АСКОД», або користувачі із\r\nзаражених Pterodo комп’ютерів самі відсилають інфіковані документи не знаючи цього.\r\nПринцип роботи «АСКОД» такий, що при конвертації документу на сервері організації, в залежності від\r\nконфігурації може використовуватись програмне забезпечення «Microsoft Office». При такому\r\nвикористанні «Microsoft Office», «АСКОД» отримує доступ до командної строки з правами адміністратора\r\nта відкриває документ за допомогою WINWORD.EXE. Якщо на сервері використовується неоновлена\r\nверсія «Microsoft Office», яка містить вразливості або в ньому дозволено використання макросів, документ\r\nз ШПЗ запуститься на сервері, використає вразливість або виконає макроси та інфікує робочі станції або\r\nсервери.\r\nВикористання в системах електронного документообігу на робочих станціях або серверах неоновлених/\r\nнеліцензійних версій «Microsoft Office», та відсутність встановленого антивірусного програмного\r\nзабезпечення є потенційною критичною загрозою, яка використовувалась зловмисниками для зараження\r\nсерверів, на яких встановлено «АСКОД».\r\nДокументи, які надсилались таким чином містили шкідливий код для експлуатації відомої вразливості\r\n«Microsoft Office» CVE-2017-0199 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0199), що\r\nнадає змогу зловмиснику виконати довільний код на пристрої користувача, при відкритті інфікованого\r\nфайлу.\r\nПри відкритті документу, кінцевий пристрій встановлює з’єднання з командно-контрольним сервером\r\nhttp://melitaeas.online використовуючи модифікований \\word\\_rels\\settings.xml.rels файл. Вміст відповідного\r\nфайлу наведено нижче:\r\nhttps://cert.gov.ua/article/10702\r\nPage 1 of 11\n\nабо\r\nЗа допомогою відповідних налаштувань, в разі відсутності оновлень безпеки, що були опубліковані у\r\nквітні 2017 року на офіційному вебсайті Microsoft, на комп’ютер жертви автоматично завантажуються\r\nфайли з розширенням .dot, що містять у собі шкідливий програмний код у вигляді макросу та ініціюється\r\nвиконання коду.\r\nhttps://cert.gov.ua/article/10702\r\nPage 2 of 11\n\nМакрос містить у собі VBScript, що ініціює встановлення завантажувача (downloader) в систему, який\r\nнадає командно-контрольному серверу (далі – С2) інформацію щодо назви пристрою, назви накопичувача\r\nта його серійного номеру, та отримує відповіді у вигляді програмного коду, що записується в оперативну\r\nпам'ять пристрою.\r\nПісля ініціалізації відповідного шкідливого програмного коду в системі створюються файли з\r\nрозширенням .exe та .vbs, що мають конкретний шлях запису, наразі відомі таки директорії:\r\n%PUBLIC% \\Documents\\\r\n%APPDATA%\\Microsoft\\\r\n        Зокрема у системі створюються правила щодо регулярної ініціалізації сформованих файлів:\r\nschtasks /Create /SC MINUTE /MO 15 /F /tn PublicFolderDownload /tr \\Documents\\inspection.exe //b\r\n\\Documents\\inspection.vbs, 0, False.\r\nПісля його ініціалізації, в системі строюються файли з такими фіксованими назвами: 6045.cmd.\r\n6045.cmd – файл, що створює файли Say.vbs, Say.exe, yIaCaZTYKozaEDs.txt, BFXKwVzWGhXtYrG.vbs,\r\nsaved.exe, завантажує scaffold.exe з http://tridiuma.ru/scaffold.php.\r\nПісля цього у планувальнику завдань відбувається встановлення з’єднання з командно-контрольним\r\nсервером, кожні 13 хвилин: \r\nschtasks /Create /SC MINUTE /MO 13 /F /tn HelpOffice /tr \"%APPDATA%\\Microsoft\\say\\say.exe //b\r\n%APPDATA%\\Microsoft\\say\\say.vbs\"\r\nSay.vbs перевіряє доступність до хосту \"tridiuma.ru\" за допомогою команди ping:\r\nC:\\Windows\\SysWOW64\\PING.EXE ping tridiuma.ru\r\nЗа допомогою адреси, що була використана для відповіді на команду ping, формується GET запит на\r\nотримання файлу \"schedule.php\", який зберігається до файлу\r\n\"C:\\Users\\askod\\AppData\\Roaming\\Microsoft\\say\\scaffold.exe\". Запуск файлу scafold.exe\r\n32154.vbs cтворює файли UserSupport.cs, UserSupport.bin. наступні файли отримують код з наступного\r\nресурсу: http://barbatus.online/get.php. Після цього відбувається пошук усіх файлів в директорії\r\nC:\\Windows\\Microsoft.NET\\Framework\\v4.* та запис результату до 1.txt.\r\nВідбувається компіляція UserSupport.cs завдяки csc.exe(компілятор С#) та відтворення результатів до\r\nUserSupport.ехе.\r\nТакож створений UserSupport.ехе додається до планувальника завдань на вконання кожних 5 хвилин:\r\nSCHTASKS /CREATE /sc minute /mo 5 /tn \"\" /tr \"%USERPROFILE%\\UserSupport\\UserSupport.exe\" /F\r\nhttps://cert.gov.ua/article/10702\r\nPage 3 of 11\n\nVBS cкрипт 7104.vbs є копією 32154.vbs та виконує аналогічні функції.\r\nФайл UserSupport.ехе націлений на дослідження хосту. Таким чином, завдяки йому відбувається\r\nдослідження файлової системи(перебір та визначення наявності папок та файлів) та визначення її стану.\r\nДані файли взаємодіють з http://188.225.37.128/index.php (РФ).\r\nСценарій 2\r\nУ цьому випадку метод розповсюдження був білш звичайний – для зараження використовувались\r\nфішингові розсилки електронних листів зі шкідливими вкладеннями. Користувачі заражених пристроїв\r\nсамі того не підозрюючи створювали документи, які містили шкідливий код та відправляли їх за\r\nдопомогою легітимної робочої пошти, ща збільшувало вірогідність відкриття шкідливих листів.\r\nУ цьому випадку також експлуатувалась вразливість CVE-2017-0199 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0199).\r\nПри відкритті інфікованого документу «Microsoft Word» кінцевий пристрій встановлює з’єднання з\r\nкомандно-контрольним сервером та завантажує файл з розширенням .dot, що містить у собі шкідливе\r\nпрограмне навантаження. Після його ініціалізації, в системі створюється виконуваний файл, з\r\nпсевдовипадковою назвою, проте незалежно від назви містить у собі VBScript, з назвою 27270.\r\nПісля його ініціалізації, в системі строюються файли з такими фіксованими назвами: satisfy.exe, satisfy.vbs,\r\nsavagely.exe, 3070.cmd, scenes.exe, TjAaneBEaKsklpl.vbs, 7ZSfx000.cmd, D6BDA66A.tmp та\r\nTdJIPGeKMNeyqOh.txt.\r\nTjAaneBEaKsklpl.vbs звертається до командно-контрольних серверів http://optica-rd.myftp.biz/satisfy.php\r\nта 188.225.58.175/savagely.php за запитом POST (домен та ІР адреса знаходяться в РФ).\r\nФайл satisfy.vbs звертається до командно-контрольних серверів http://graphiuma.online/hat.php  та\r\n185.119.59.227/phone.php за запитом GET.\r\nФайл savagely.exe створюється в системі відповідно до отриманих даних з контрольно-командного сервера,\r\nhttp://graphiuma.online/hat.php.\r\nФайл scenes.exe, являє собою копію файлу System32\\WScript.exe, а satisfy.exe, в свою чергу є копією\r\nscenes.exe.\r\nФайл 7ZSfx000.cmd містить у собі наступні команди, де vcqkmwhafaky.exe – відповідний виконуваний\r\nфайл з псевдовипадковою назвою, що містить у собі VBScript.\r\nФайл 3070.cmd, є копією відповідного виконуваного файлу з псевдовипадковою назвою, що містить у собі\r\nVBScript.\r\nhttps://cert.gov.ua/article/10702\r\nPage 4 of 11\n\nТакож запускається процес перевірки доступності з’єднання кінцевого пристрою з мережею інтернет:\r\nC:\\Windows\\SysWOW64\\PING.EXE ping 127.0.0.1\r\nта у планувальнику завдань прописується встановлення з’єднання з командно-контрольним сервером,\r\nкожні 13 хвилин\r\n@schtasks /Create /SC MINUTE /MO 13 /F /tn HelpOffice /tr satisfy.exe //b satisfy.vbs\r\nЗокрема, під час аналізу файлової системи було виявлено такі файли на інфікованому кінцевому пристрої,\r\nщо працюють аналогічно до зазначених вище:\r\nC:\\Users\\user\\AppData\\Roaming\\Microsoft\\casks.exe – файл є копією системного файлу\r\nSystem32\\WScript.exe.\r\nC:\\Users\\user\\AppData\\Roaming\\Microsoft\\casks.vbs\r\nВідповідний VBScript звертається до командно-контрольних серверів http://dipteran.online/napoleon.php та\r\nhttp://dipteran.online/saucer.php за запитом GET та формує відповідно до їх відповіді в системі файл\r\nhasten.exe та ініціює його запуск.\r\nC:\\Users\\user\\AppData\\Local\\Temp\\24180-9520.vbs\r\nC:\\Users\\user\\AppData\\Local\\Temp\\24214-30768.vbs\r\nВідповідні два файли звертаються за методом POST до hххp://apoxipodes.ru/straightforward.php.\r\nВисновок\r\nАктивність хакерського угрупування Armageddon/Gamaredon в Україні збільшується з кожним роком. Для\r\nреалізації своїх кібератак вони шукають нові методи та техніки і використовують фішингові листи та\r\nдокументи створенні спеціально під конкретні організації.\r\nНегативними наслідками реалізації подібних кібератак, за умов відсутності антивірусного програмного\r\nзабезпечення та/або несвоєчасного встановлення оновлень програмного забезпечення, що\r\nвикористовується на робочих станціях та серверах організацій, можуть бути:\r\n- отримання зловмисниками адміністративного доступу до інфікованого серверу та/або робочих станцій\r\n(розміщення бекдорів);\r\n- інфіковані сервери та робочі станції стають джерелом подальшого розповсюдження ШПЗ в інші\r\nінформаційні та інформаційно-телекомунікаційні системи державних органів;\r\n- наявність доступу зловмисника до інфікованих ресурсів може призвести до витоку інформації (файлів,\r\nелектронних документів, паролів до облікових записів тощо);\r\n- на завершальній стадії кібератаки може відбутися шифрування даних чи файлової системи з метою\r\nприховування дій зловмисника або вимагання викупу за розшифрування.\r\nhttps://cert.gov.ua/article/10702\r\nPage 5 of 11\n\nРекомендації\r\n1.     Забезпечити невідкладне інформування урядової команди реагування на комп’ютерні надзвичайні\r\nподії України CERT-UA про інциденти кібербезпеки.\r\nКонтактні дані:\r\nemail: cert@cert.gov.ua\r\nтел: (044) 281-88-05 (044) 281-88-05 (044) 281-88-01(цілодобово)\r\nфорам для повідомлення про кіберінцидент: https://cert.gov.ua/contact-us\r\n2.     Використовувати лише ліцензійне програмне забезпечення та своєчасно оновлювати його.\r\n3.     Використовувати антивірусне програмне забезпечення з актуальною антивірусною базою.\r\nЗабезпечити регулярну повну перевірку системи на предмет наявності шкідливих програм.\r\n4.     Забезпечити негайне відключення інфікованих серверів та робочі станції від локальної\r\nобчислювальної мережі.\r\n5.     Забезпечити розмежування інформаційних систем на відокремлених обчислювальних ресурсах.\r\n6.     При отримані повідомлення електронною поштою, якщо ім'я чи адреса відправника, або зміст\r\nповідомлення викликають підозри, не відкривати прикріплені файли та не переходити за посиланнями.\r\n7.     Налаштувати фільтрування вхідних/вихідних інформаційних потоків, наприклад заборонити\r\nотримання працівниками повідомлень електронної пошти, що містить в додатках виконувані файли.\r\n8.     Налаштувати SPF, DKIM та DMARC для зменшення випадків отримання спаму, реалізації спуфінгу та\r\nінших кібератак.\r\n9.     Обмежити права доступу користувачам, заборонити ініціалізацію файлів з правами адміністратора.\r\n10.   Використовувати поштові клієнти для роботи з сервісами електронної пошти.\r\n11.   Політики інформаційної безпеки повинні містити вимогу щодо обмеження використання флеш-носіїв,\r\nу тому числі їх перевірку антивірусним програмним забезпеченням.\r\n12.   Заборонити стандартні сервіси шифрування операційної системи, що не використовуються, для\r\nунеможливлення використання їх шифрувальниками.\r\n13.   Обмежити можливість запуску виконуваних файлів (*.exe, *js, *.com, *.bs, *jar, *.vbs і т.д.) на\r\nпристроях з директорій Temp, AppData.\r\n14.   Заборонити чи обмежити використання макросів в програмному забезпеченні Microsoft Office.\r\n15.   Обмежити чи заборонити використання powershell.\r\nhttps://cert.gov.ua/article/10702\r\nPage 6 of 11\n\n16.   На регулярній основі забезпечити процес резервного копіювання програмного забезпечення та\r\nкритичних даних на відокремлених ресурсах.\r\nІндикатори компрометації\r\nСценарій 1\r\nФайлова система\r\nC:\\Users\\user\\AppData\\Roaming\\Microsoft\\\r\nC:\\Users\\user\\AppData\\Local\\TEMP\\servicehubs\r\nC:\\Users\\user\\AppData\\Local\\\r\n%PUBLIC% \\Documents\\\r\n%APPDATA%\\Microsoft\\\r\n%windir%\\SysWOW64\\\r\n%APPDATA%\\Microsoft\\Office\\\r\n%TEMP%\r\nSHA-1: 7641A24A6F84ADC89BB29855F979F7AEC474B90D (Index.html)\r\nSHA-1: 54ddcbc4b743255c5b1a742a3a16af6e65a4c078 (abominable.exe)\r\nSHA-1: 04893332e1fac997d2dc6062ed10460d79402bef (insist.vbs)\r\nSHA-1: b4e21d2ef8cfdde74550b184ec40b74143df0515 (scarf.exe)\r\nSHA-1: f4be7384c04d2bae7a37fd475028a8e668f09f49 (UserSupport.exe)\r\nSHA-1: 00635F771B861FAAFE1A7A70C6D452C460CED6A7 (BFXKwVzWGhXtYrG.vbs)\r\nSHA-1: F4EACFBA8F23391EF14392444A75A28B451B7000 (1.txt)\r\nSHA-1: F68CE31B69959C93EE9BEF230EE2F4A8B8EF4A16 (countenance.dot)\r\nSHA-1: F68CE31B69959C93EE9BEF230EE2F4A8B8EF4A16 (pretend.dot)\r\nSHA-1: 54DDCBC4B743255C5B1A742A3A16AF6E65A4C078 (abominable.exe)\r\nSHA-1: 04893332E1FAC997D2DC6062ED10460D79402BEF (insist.exe)\r\nSHA-1: D30313685658184449C34796798CE355128B3A21 (inspection.vbs)\r\nSHA-1: 58D94FDEE57786858DE5F6B9268BFE326D360EC9 (MultiDrives.exe)\r\nSHA-1: D26A907EEFE2D0299DF8DB81F6A46F2E1615BD04 (say.exe)\r\nhttps://cert.gov.ua/article/10702\r\nPage 7 of 11\n\nSHA-1: BCD274BEBB48FC25862698173C8150148263D618 (say.vbs)\r\nSHA-1: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709 (scaffold.exe)\r\nSHA-1: C0280CE9D05ECFAFC0ADC5E5EC92BE362094E7D8 (UserSupport.bin)\r\nSHA-1: 515F86C9BF74A6E277238FD19E03451EDA0C6322 (UserSupport.cs)\r\nSHA-1: 73CB6707F9C99211A0A71EBD70D665FB106123AE (Index.vbs)\r\nSHA-1: 8C135B6A6282FD8E8CF584AA5C32CF4386B89790 (Index5A9A-8104.cmd)\r\nSHA-1: 8C135B6A6282FD8E8CF584AA5C32CF4386B89790 (SID-5A9A8104.exe)\r\nSHA-1: BC9D60AF6AF0EB632D9037967DB3AAD9956B718E (WebMedia.vbs)\r\nSHA-1: B7161836FF12A44EC5ADC9537096A68CB4C32474 (abroad.vbs)\r\nSHA-1: 48E50F75E31DAA7054086ABD58A3DD858BCE2195 (street.vbs)\r\nSHA-1: 802233F29918A04EBA0E97970144996EFAA72A4E (jessie.vbs)\r\nSHA-1: E66575467275CED94DAEE25DC6CC16ACC68A3522 (RemoteWinRar.vbs)\r\nSHA-1: 479A69B5AB8815C0E79731833F5F70D8A5CE95D8 (4529)\r\nSHA-1: 46E28173484036D2B3EDE44DF8DC0AF9313C5191 (6045.cmd)\r\nSHA-1: 6333C64FB9D7B1DEAB16D514830BF89B69895E82 (7104.vbs)\r\nSHA-1: F283A10A138CAF8F8D693B24FC9F613F00BBEC0D (32154.vbs)\r\nSHA-1: D26A907EEFE2D0299DF8DB81F6A46F2E1615BD04 (saved.exe)\r\nSHA-1: 5BE05DDECF4804A895CD6CDF2D183EC8D8E0AE9A (yIaCaZTYKozaEDs.txt)\r\nSHA-1: 9AF13791AA1973786AA2D9A909DF66EB3D96BBC0 (DECLARATION.lnk)\r\nПланувальник завдань\r\n@schtasks /CREATE /sc minute /mo 5 /tn \"\" /tr \"%USERPROFILE%\\UserSupport\\UserSupport.exe\" /F\r\n@schtasks /Create /SC MINUTE /MO 13 /F /tn HelpOffice /tr \"%APPDATA%\\Microsoft\\say\\say.exe //b\r\n%APPDATA%\\Microsoft\\say\\say.vbs\".\r\n@schtasks /Create /SC MINUTE /MO 15 /F /tn PublicFolderDownload /tr \\Documents\\inspection.exe //b\r\n\\Documents\\inspection.vbs, 0, False\r\n@schtasks /create /SC MINUTE /MO 20 /TN 'Firefox Compability check' /TR '\\'C:\\Users\\Public\\Temp\\scarf.exe\r\nПосилання\r\nhttps://cert.gov.ua/article/10702\r\nPage 8 of 11\n\nhxxp://melitaes.online/985BDC0F/luggage/princess/pretend.dot\r\nhxxp://melitaes.online/985BDC0F/luggage/princess/countenance.dot\r\nhxxp://emterox.ru/infant.php\r\nhxxp://tridiuma.ru/schedule.php\r\nhxxp://barbatus.online/get.php\r\nhxxp://188.225.37.128/index.php\r\nhxxp://acteran.ru/striped?\r\nhxxp://omyce.ru/index.html\r\nДомени та ІР адреси\r\n188.225.37.128\r\n195.62.53.63 (circulas.ru)\r\n109.68.212.97\r\nmelitaes.online\r\nemterox.ru\r\nryomy.ru\r\nerwini.ru\r\n89.223.124.22  (tridiuma.ru)\r\n109.68.214.176 (barbatus.online)\r\n89.223.124.22 (candidar.ru)\r\n89.223.124.22 (omyce.ru)\r\n89.223.124.22 (acteran.ru)\r\n109.68.214.176 (mulleti.ru)\r\n109.68.214.176 (sardanal.online)\r\nСценарій 2\r\nФайлова система\r\n%WorkingDir%\\IdmPyYVUudYaVF.dot\r\nhttps://cert.gov.ua/article/10702\r\nPage 9 of 11\n\n27270\r\nSHA-1: 73B289EFE5109946DFDB6C1F369F8D82ACBD0909\r\nC:\\Users\\user\\AppData\\Local\\Temp\\TdJIPGeKMNeyqOh.txt\r\nSHA-1: 691295BF2C8FF344F0241A98512ABF01285182DC\r\nC:\\Users\\user\\AppData\\Roaming\\Microsoft\\satisfy\\satisfy.vbs\r\nSHA-1: 1900B6BBA95E7E6A27BD86E6454C7808F6777120\r\nC:\\Users\\user\\AppData\\Roaming\\Microsoft\\satisfy\\satisfy.exe\r\nSHA-1: 7FD5A5D1A8E673FAC52C74C475AA71BD73B4BED2\r\nC:\\Users\\user\\AppData\\Local\\Temp\\3070.cmd\r\nSHA-1: 73B289EFE5109946DFDB6C1F369F8D82ACBD0909\r\nC:\\Users\\user\\AppData\\Local\\Temp\\scenes.exe\r\nSHA-1: 860265276B29B42B8C4B077E5C651DEF9C81B6E9\r\nC:\\Users\\user\\AppData\\Local\\Temp\\TjAaneBEaKsklpl.vbs\r\nSHA-1: C97CDC25D1C194FF0E2D3A9E19247E091C9B677F\r\nC:\\Users\\user\\AppData\\Local\\Temp\\7ZSfx000.cmd\r\nSHA-1: BF871005126BD2FE61152408857781A2E5012A1D\r\nC:\\Users\\user\\AppData\\Roaming\\Microsoft\\satisfy\\savagely.exe\r\nC:\\Users\\user\\AppData\\Local\\Temp\\24197-HeDSIhKlNiKRBpV.txt\r\nSHA-1: 1C2E1B07EBDF940D0C67713D99369CF2026F8F7E\r\nC:\\Users\\user\\AppData\\Local\\Temp\\24180-9520.vbs\r\nSHA-1: DAAC7C18C74326AA4A82EA490295993E471C1C15\r\nC:\\Users\\user\\AppData\\Local\\Temp\\24214-30768.vbs\r\nSHA-1: ECBC76737EA44A05F2D042644ACA7098ACE9C57A\r\nC:\\Users\\user\\AppData\\Roaming\\Microsoft\\casks.exe\r\nSHA-1: A057D27FC8F3E3B7CF9061AEDED0601C56D746E1\r\nC:\\Users\\user\\AppData\\Roaming\\Microsoft\\casks.vbs\r\nhttps://cert.gov.ua/article/10702\r\nPage 10 of 11\n\nSHA-1: 52C30594D8FCD238C889B537C93AE55EBA96431E\r\nC:\\Users\\user\\AppData\\Roaming\\Microsoft\\casks\\hasten.exe\r\nПланувальник завдань\r\n@schtasks /Create /SC MINUTE /MO 13 /F /tn HelpOffice /tr satisfy.exe //b satisfy.vbs\r\n@schtasks /Create /SC MINUTE /MO 5 /F /tn ScheduledDefrag /tr wscript.exe //b sorting.vbs\r\n@schtasks /Create /SC MINUTE /MO 5 /F /tn ScheduledDefrag /tr wscript.exe //b souvenir.vbs\r\nПосилання, домени та ІР адреси\r\nhххp://scorpiones.online/12639B73/IdmPyYVUudYaVF.dot\r\nhххp://graphiuma.online/hat.php\r\nhххp://optica-rd.myftp.biz/satisfy.php\r\nhххp://188.225.58.175/savagely.php\r\nhххp://194.58.112.174/phone.php\r\nhххp://apoxipodes.ru/straightforward.php\r\nhххp://dipteran.online/napoleon.php\r\nhххp://dipteran.online/saucer.php\r\n185.119.59.227\r\n188.225.58.175\r\n194.58.112.174\r\n188.225.24.78\r\n109.68.212.97\r\nSource: https://cert.gov.ua/article/10702\r\nhttps://cert.gov.ua/article/10702\r\nPage 11 of 11", "extraction_quality": 1, "language": "EN", "sources": [ "Malpedia" ], "references": [ "https://cert.gov.ua/article/10702" ], "report_names": [ "10702" ], "threat_actors": [ { "id": "81bd7107-6b2d-45c9-9eea-1843d4b9b308", "created_at": "2022-10-25T15:50:23.320841Z", "updated_at": "2026-04-10T02:00:05.356444Z", "deleted_at": null, "main_name": "Gamaredon Group", "aliases": [ "Gamaredon Group", "IRON TILDEN", "Primitive Bear", "ACTINIUM", "Armageddon", "Shuckworm", "DEV-0157", "Aqua Blizzard" ], "source_name": "MITRE:Gamaredon Group", "tools": [ "QuietSieve", "Pteranodon", "Remcos", "PowerPunch" ], "source_id": "MITRE", "reports": null }, { "id": "61940e18-8f90-4ecc-bc06-416c54bc60f9", "created_at": "2022-10-25T16:07:23.659529Z", "updated_at": "2026-04-10T02:00:04.703976Z", "deleted_at": null, "main_name": "Gamaredon Group", "aliases": [ "Actinium", "Aqua Blizzard", "Armageddon", "Blue Otso", "BlueAlpha", "Callisto", "DEV-0157", "G0047", "Iron Tilden", "Operation STEADY#URSA", "Primitive Bear", "SectorC08", "Shuckworm", "Trident Ursa", "UAC-0010", "UNC530", "Winterflounder" ], "source_name": "ETDA:Gamaredon Group", "tools": [ "Aversome infector", "BoneSpy", "DessertDown", "DilongTrash", "DinoTrain", "EvilGnome", "FRAUDROP", "Gamaredon", "GammaDrop", "GammaLoad", "GammaSteel", "Gussdoor", "ObfuBerry", "ObfuMerry", "PlainGnome", "PowerPunch", "Pteranodon", "Pterodo", "QuietSieve", "Remcos", "RemcosRAT", "Remote Manipulator System", "Remvio", "Resetter", "RuRAT", "SUBTLE-PAWS", "Socmer", "UltraVNC" ], "source_id": "ETDA", "reports": null }, { "id": "236a8303-bf12-4787-b6d0-549b44271a19", "created_at": "2024-06-04T02:03:07.966137Z", "updated_at": "2026-04-10T02:00:03.706923Z", "deleted_at": null, "main_name": "IRON TILDEN", "aliases": [ "ACTINIUM ", "Aqua Blizzard ", "Armageddon", "Blue Otso ", "BlueAlpha ", "Dancing Salome ", "Gamaredon", "Gamaredon Group", "Hive0051 ", "Primitive Bear ", "Shuckworm ", "Trident Ursa ", "UAC-0010 ", "UNC530 ", "WinterFlounder " ], "source_name": "Secureworks:IRON TILDEN", "tools": [ "Pterodo" ], "source_id": "Secureworks", "reports": null } ], "ts_created_at": 1775434227, "ts_updated_at": 1775792224, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/2ac2ed44a463bcf1dbd5070c38e70af03bc1231c.pdf", "text": "https://archive.orkl.eu/2ac2ed44a463bcf1dbd5070c38e70af03bc1231c.txt", "img": "https://archive.orkl.eu/2ac2ed44a463bcf1dbd5070c38e70af03bc1231c.jpg" } }