{
	"id": "ed69942e-e8ac-4bdd-9aba-665d2df4c5bb",
	"created_at": "2026-04-06T00:10:55.767158Z",
	"updated_at": "2026-04-10T13:12:01.339574Z",
	"deleted_at": null,
	"sha1_hash": "555f685cb42cbded434adf99014ff7db662506b1",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2030005,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 17:02:36 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA вжито невідкладних\r\nзаходів з реагування на інцидент інформаційної безпеки, пов’язаний з цільовою атакою на об’єкт\r\nенергетики України.\r\nЗадум зловмисників передбачав виведення з ладу декількох інфраструктурних елементів об’єкту атаки, а\r\nсаме:\r\nвисоковольтних електричних підстанцій – за допомогою шкідливої програми INDUSTROYER2;\r\nпричому, кожен виконуваний файл містив статично вказаний набір унікальних параметрів для\r\nвідповідних підстанцій (дата компіляції файлів: 23.03.2022);\r\nелектронних обчислювальних машин (ЕОМ) під управлінням операційної системи Windows\r\n(комп’ютерів користувачів, серверів, а також автоматизованих робочих місць АСУ ТП) – за\r\nдопомогою шкідливої програми-деструктора CADDYWIPER; при цьому для дешифрування і\r\nзапуску останнього передбачено використання лоадеру ARGUEPATCH та шелкоду TAILJUMP;\r\nсерверного обладнання під управлінням операційної систем Linux – за допомогою шкідливих\r\nскриптів-деструкторів ORCSHRED, SOLOSHRED, AWFULSHRED;\r\nактивного мережевого обладнання.\r\nЦентралізоване розповсюдження і запуск CADDYWIPER реалізовано за допомогою механізму групових\r\nполітик (GPO). З метою додавання групової політики, що передбачає завантаження компонентів файлового\r\nдеструктору з контролеру домену, а також створення запланованого завдання на ЕОМ, використано\r\nPowerShell-скрипт POWERGAP.\r\nМожливість горизонтального переміщення між сегментами локальної обчислювальної мережі забезпечено\r\nшляхом створення ланцюгів SSH-тунелів. Для віддаленого виконання команд використано IMPACKET.\r\nВідомо, що організація-жертва зазнала двох хвиль атак. Первинна компрометація відбулася не пізніше\r\nлютого 2022 року. Відключення електричних підстанцій та виведення з ладу інфраструктури підприємства\r\nбуло заплановане на вечір п’ятниці, 8 квітня 2022 року. Разом з тим, реалізації зловмисного задуму на\r\nпоточний момент вдалося запобігти.\r\nЗ метою виявлення ознак присутності подібної загрози в інших організаціях України, оперативну\r\nінформацію з рівнем обмеження доступу TLP:AMBER, включаючи зразки шкідливих програм, індикатори\r\nкомпрометації та Yara-правила, передано обмеженому колу міжнародних партнерів та підприємствам\r\nенергетичного сектору України.\r\nОкрему вдячність висловлюємо компаніям Microsoft та ESET.\r\nhttps://cert.gov.ua/article/39518\r\nPage 1 of 3\n\nІндикатори компрометації\r\nФайли:\r\nfbe32784c073e341fc57d175a913905c 43d07f28b7b699f43abd4f695596c15a90d772bfbd6029c8ee7bc5859c2b0861 sc\r\n73561d9a331c1d8a334ec48dfd94db99 bcdf0bd8142a4828c61e775686c9892d89893ed0f5093bdc70bde3e48d04ab99 wob\r\n97ad7f3ed815c0528b070941be903d07 87ca2b130a8ec91d0c9c0366b419a0fce3cb6a935523d900918e634564b88028 wso\r\n9ec8468dd4a81b0b35c499b31e67375e cda9310715b7a12f47b7c134260d5ff9200c147fc1d05f030e507e57e3582327 {z\r\n1938380a81a23b8b1100de8403b583a7 1724a0a3c9c73f4d8891f988b5035effce8d897ed42336a92e2c9bc7d9ee7f5a pa\r\nb63b9929b8f214c4e8dcff7956c87277 fc0e6f2effbfa287217b8930ab55b7a77bb86dbd923c0e8150551627138c9caa cad\r\n3229e8c4150b5e43f836643ec9428865 7062403bccacc7c0b84d27987b204777f6078319c3f4caa361581825c1a94e87 108\r\nХостові:\r\nC:\\Users\\peremoga.exe JRIBDFIMCQAKVBBP C:\\Users\\pa1.pay\r\nreg save HKLM\\SYSTEM C:\\Users\\Public\\sys.reg /y\r\nreg save HKLM\\SECURITY C:\\Users\\Public\\sec.reg /y\r\nreg save HKLM\\SAM C:\\Users\\Public\\sam.reg /y\r\n\\\\%DOMAIN%\\sysvol\\%DOMAIN%\\Policies\\%GPO ID%\\Machine\\zrada.exe\r\n\\\\%DOMAIN%\\sysvol\\%DOMAIN%\\Policies\\%GPO ID%\\Machine\\pa.pay\r\nC:\\Windows\\System32\\rundll32.exe C:\\windows\\System32\\comsvcs.dll MiniDump %PID% C:\\Users\\Public\\mem.d\r\nC:\\Windows\\Temp\\link.ps1\r\nC:\\Users\\peremoga.exe\r\nC:\\Users\\pa1.pay\r\nC:\\Dell\\vatt.exe\r\nC:\\Dell\\pa.pay\r\nC:\\Dell\\108_100.exe\r\nC:\\tmp\\cdel.exe\r\nМережеві:\r\n91.245.255[.]243\r\n195.230.23[.]19\r\nГрафічні зображення\r\nhttps://cert.gov.ua/article/39518\r\nPage 2 of 3\n\nSource: https://cert.gov.ua/article/39518\r\nhttps://cert.gov.ua/article/39518\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia",
		"ETDA"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://cert.gov.ua/article/39518"
	],
	"report_names": [
		"39518"
	],
	"threat_actors": [],
	"ts_created_at": 1775434255,
	"ts_updated_at": 1775826721,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/555f685cb42cbded434adf99014ff7db662506b1.pdf",
		"text": "https://archive.orkl.eu/555f685cb42cbded434adf99014ff7db662506b1.txt",
		"img": "https://archive.orkl.eu/555f685cb42cbded434adf99014ff7db662506b1.jpg"
	}
}