{
	"id": "98bd1e39-cbd1-4d74-90b6-f06c3d47f12d",
	"created_at": "2026-04-06T00:17:33.499308Z",
	"updated_at": "2026-04-10T03:31:27.570245Z",
	"deleted_at": null,
	"sha1_hash": "3c511bce44641368d16212e6fd77e648fa80ed0c",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 3203618,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-02 11:14:02 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA 21.02.2023\r\nзафіксовано масове розповсюдження електронних листів начебто від імені Печерського районного суду\r\nміста Києва з темою \"Печерський районний суд міста Києва\" та додатком у вигляді RAR-архіву\r\n\"електронний судовий запит № 7836071.rar\".\r\nАрхів містить текстовий документ \"код доступу 3527 .txt\" та захищений паролем RAR-архів \"електронний\r\nсудовий запит № 7836071.rar\", в якому знаходиться виконуваний файл \"електронний судовий запит №\r\n7836071.pdf.exe\" розміром 688МБ з підробленим цифровим підписом.\r\nЗапуск EXE-файлу призведе до встановлення на комп'ютері жертви програми для віддаленого контролю та\r\nспостереження Remcos.\r\nЗауважимо, що один з електронних листів містить заголовок \"Received: from [91.228.10[.]77] (port=56344\r\nhelo=109x194x3x7.static-customer.bryansk.ertelecom[.]ru)\"; при цьому, зазначена IP-адреса була застосована\r\n13.02.2023 під час розсилання шкідливих електронних листів з темою \"RE: Критичне оновлення безпеки\"\r\n(MD5: 8fe5572d2683360d3483ad32e8bad9a1) та додатком у вигляді програми для віддаленого управління\r\nRemote Utilities (https://cert.gov.ua/article/3863542; CERT-UA#5961).\r\nВиходячи з викладеного, вважаємо за можливе поєднати UAC-0050 та UAC-0096 в одну групу та\r\nпродовжити відстеження активності за ідентифікатором UAC-0050.\r\nЗвертаємо увагу на той факт, що після успішного ураження комп'ютерів зловмисники здійснюють\r\nексфільтрацію автентифікаційних даних, а також використовують інфіковану ЕОМ для розвідки локальної\r\nобчислювальної мережі та подальшого розвитку атаки на інформаційно-комунікаційну систему організації.\r\nІндикатори компрометації\r\nФайли:\r\n6d4eccbdf2de6a8d251dd5d290472be8 8872d6afaa790c755ce42823549fa80f6594c9296d0f8fcc8dde5b0839d63c1b\r\n399327a4dd1ac365f99f6e77c6089897 eb07ad9ca3b06aee903d38512cf1157dd3b38f9fcbe919593af37d53c1f17a83\r\n90bc4319fc2bcf2d49d97e37fb99ea78 ee4a2d34012f5ea2b2d1c6c60f322a5a36c31748700aa6ae73d1a7fa875dfed1\r\n099870d8fb21d5e9673711117ec4ff3e 86146b1265de8425e9c0960ba06464d2dfec7a0c803eaa31af29a7682700fa68\r\nfcc95f2d4edad0ff682f190406b35ff0 5b9ec22aef059dc09bf82d694934e52d7cbfd8fd696b4c4e68ac10d7280d31d6\r\nХостові:\r\nhttps://cert.gov.ua/article/3931296\r\nPage 1 of 3\n\n%PROGRAMDATA%\\word\\wos.exe\r\nHKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\word\r\nМережеві:\r\ncourtgova[.]online   2023-02-13 @publicdomainregistry.com\r\ncourtgova[.]site    2023-02-13 @publicdomainregistry.com\r\ncourtbox[.]online  2023-02-13 @publicdomainregistry.com\r\n95.163.235[.]80   RU @reg.ru (Received)\r\n91.228.10[.]77   RU @stark-industries.solutions (Received)\r\n80.78.248[.]17   RU @reg.ru\r\n80.78.248[.]200   RU @reg.ru\r\ninfo@courtgova[.]site\r\ninfo@courtgova[.]online\r\n(Remcos C2)\r\n77[.]91.100.6     @stark-industries.solutions\r\n77[.]91.100.9\r\n94[.]131.99.153\r\n94[.]131.99.156\r\n94[.]131.99.159\r\n101[.]99.91.124     @shinjiru.com.my\r\n101[.]99.91.158\r\n101[.]99.91.170\r\n101[.]99.91.176\r\n101[.]99.93.104\r\n111[.]90.148.194\r\n217[.]69.139.209    @corp.mail.ru (?)\r\n217[.]69.139.232\r\n217[.]69.139.243\r\n(tcp)://77[.]91.100.6:5222\r\n(tcp)://77[.]91.100.9:5222\r\n(tcp)://94[.]131.99.153:5222\r\n(tcp)://94[.]131.99.156:5222\r\n(tcp)://94[.]131.99.159:5222\r\n(tcp)://111[.]90.148.194:5222\r\n(tcp)://111[.]90.148.194:81\r\n(tcp)://101[.]99.91.124:5222\r\n(tcp)://101[.]99.91.158:5222\r\n(tcp)://101[.]99.91.170:5222\r\n(tcp)://101[.]99.91.176:5222\r\n(tcp)://101[.]99.93.104:5222\r\n(tcp)://217[.]69.139.209:5222\r\n(tcp)://217[.]69.139.209:81\r\nhttps://cert.gov.ua/article/3931296\r\nPage 2 of 3\n\n(tcp)://217[.]69.139.232:81\r\n(tcp)://217[.]69.139.243:81\r\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/3931296\r\nhttps://cert.gov.ua/article/3931296\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia",
		"MISPGALAXY"
	],
	"references": [
		"https://cert.gov.ua/article/3931296"
	],
	"report_names": [
		"3931296"
	],
	"threat_actors": [
		{
			"id": "a2e59183-d83f-47aa-adf9-97925d8e6452",
			"created_at": "2023-12-08T02:00:05.762162Z",
			"updated_at": "2026-04-10T02:00:03.496538Z",
			"deleted_at": null,
			"main_name": "UAC-0050",
			"aliases": [],
			"source_name": "MISPGALAXY:UAC-0050",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434653,
	"ts_updated_at": 1775791887,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/3c511bce44641368d16212e6fd77e648fa80ed0c.pdf",
		"text": "https://archive.orkl.eu/3c511bce44641368d16212e6fd77e648fa80ed0c.txt",
		"img": "https://archive.orkl.eu/3c511bce44641368d16212e6fd77e648fa80ed0c.jpg"
	}
}