{
	"id": "1c4ce68d-7b76-4c7c-94cf-29ed2ef5b0a2",
	"created_at": "2026-04-06T00:12:22.017595Z",
	"updated_at": "2026-04-10T03:21:14.242813Z",
	"deleted_at": null,
	"sha1_hash": "4b7b6048059b7c9732a86bf49bd9b8f343ac5d0e",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2122955,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 19:15:25 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено декілька\r\nшкідливих файлів зі специфічними назвами: \"Вниманию.doc\",\r\n\"17.06.2022_Протокол_МРГ_Подгруппа_ИБ.doc\", \"замечания таблица 20.06.2022.doc\",\r\n\"О_формировании_проекта_ПНС_2022_файл_отображен.doc\".\r\nЗгадані RTF-документи містять шкідливий код, що забезпечує експлуатацію однієї або декількох відомих\r\nвразливостей в MS Office Word (вірогідно, документи створено за допомогою білдера RoyalRoad). Як\r\nрезультат, комп'ютер жертви буде уражено шкідливою програмою Bisonal (в одному з випадків\r\nвикористовується завантажувач QuickMute).\r\nЗа даними дослідників кіберзагроз, використання білдеру RoyalRoad є однією з характерних ознак для\r\nугруповань, що пов'язують з Китаєм. Більше того, шкідлива програма Bisonal, як приклад, є інструментом\r\nгрупи TontoTeam (UAC-0018).\r\nЗважаючи на викладене, доцільно припустити, що групи, які асоціюють з КНР, активізували діяльність у\r\nвідношенні російської федерації (підприємства наукового-технічної, авіаційної галузі, а також державні\r\nоргани).\r\nРекомендуємо взяти до уваги описаний спосіб здійснення кібератак та ще раз наголошуємо на\r\nнеобхідності вчасного оновлення програмного забезпечення.\r\nІндикатори компрометації\r\nФайли:\r\n8cdd56b2b4e1e901f7e728a984221d10  7944fa9cbfef2c7d652f032edc159abeaa1fb4fd64143a8fe3b175095c4519f5\r\n83b8d4462566a23298ca38c418eeccde  f76f3277385195c27fdf2f90a01a8dd70bd05d92ab70696a6e6d7b0d5fb8e70c\r\n2f6d6e783d0c0cbe237714dd34d68e73  7bfb283ee5c283ac6ebae718edb6ed340ab986a095ebab8c13ae828bffbaef9d\r\n80987dcdb36e7cb52bb03f00261aa2bd  c7018ee3783f4b2fb19fedc78c59586390efa1b72c907867794bf42141eb767c\r\n001b53acfab523dc060d38d73d63feef  d79dcb90dfc01723f8df5628f502352c6f922187d3ef5942a6e8465552f40edf\r\nb8387fc571a8e79efab3e2cc343aae24  c2ba362693aad8686f79822712c3871f0da1570465578843f5d73c70db07e631\r\n67bfa75dbc39ab88da995c21565d05ca  7970393e506934e9304f1d18ced34b86ef04a0d278d8e3cdb4b0064caee73846\r\n518439fc23cb0b4d21c7fd39484376ff  0f704f3ab4a3ec30656dab6094c582b1089cbc8fcba280cadf3c7a651aeaacc3\r\n2342bdd79ea84c4fa1b59d224f5a534e  f87b327dd7a3608fec6c0b0bb3486cc8c9b52271fdb3dc0b07229be116ca3786\r\nМережеві:\r\nhttps://cert.gov.ua/article/375404\r\nPage 1 of 2\n\nMozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.181 Safari/537.3\r\nMozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko\r\nhXXps://upportteam.lingrevelat[.]com/update/v32/default\r\nhXXps://upportteam.lingrevelat[.]com\r\nupportteam.lingrevelat[.]com\r\nlingrevelat[.]com\r\n137[.]220.176.165\r\nДодаткова інформація\r\nQuickMute - шкідлива програма, розроблена з використанням мови програмування C/C++. Функціонально\r\nзабезпечує завантаження, RC4-дешифрування та in-memory запуск пейлоаду (очікує PE-файл з експортною\r\nфункцією \"HttpsVictimMain\"). Для комунікації з сервером управління передбачено використання ряду\r\nпротоколів, зокрема: TCP, UDP, HTTP, HTTPS. Разом з тим, в розглянутому зразку імплементовано лише\r\nHTTPS (програмний код частини функцій видалено).\r\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/375404\r\nhttps://cert.gov.ua/article/375404\r\nPage 2 of 2",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/375404"
	],
	"report_names": [
		"375404"
	],
	"threat_actors": [],
	"ts_created_at": 1775434342,
	"ts_updated_at": 1775791274,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/4b7b6048059b7c9732a86bf49bd9b8f343ac5d0e.pdf",
		"text": "https://archive.orkl.eu/4b7b6048059b7c9732a86bf49bd9b8f343ac5d0e.txt",
		"img": "https://archive.orkl.eu/4b7b6048059b7c9732a86bf49bd9b8f343ac5d0e.jpg"
	}
}