{ "id": "1e30c8ac-edf1-4fad-bd73-a4b690d0de5d", "created_at": "2026-04-06T00:07:34.535439Z", "updated_at": "2026-04-10T03:37:04.483109Z", "deleted_at": null, "sha1_hash": "58445cf22151603eeafa997d4fe0b2043e62eab8", "title": "CERT-UA", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1941793, "plain_text": "CERT-UA\r\nArchived: 2026-04-02 11:06:54 UTC\r\nЗагальна інформація\r\nНаприкінці березня 2022 року Урядовою командою реагування на комп’ютерні надзвичайні події України\r\nCERT-UA виявлено декілька RAR-архівів з іменами \"Assistance.rar\", \"Necessary_military_assistance.rar\".\r\nКожен з таких архівів містив шкідливі файли-ярлики з назвами \"List of necessary things for the provision of\r\nmilitary humanitarian assistance to Ukraine.lnk\", \"Providing military humanitarian assistance to Ukraine.lnk\".\r\nКрім того, з'ясовано, що способом доставки були електронні листи з посиланнями на згадані RAR-архіви.\r\nВикористання англійської мови в назвах файлів та тексті електронного листа, а також той факт, що лист\r\nнадіслано на адресу державного органу Латвії, однозначно свідчить про здійснення атак групою UAC-0010\r\n(Armageddon) на державні органи країн Європейського Союзу.\r\nІндикатори компрометації\r\nФайли:\r\n6ac4153b9ca93b8eefd83e304d2e5f5b b73314087130fe98896add3430787744de7310d3342b219bd668cdce79368f91\r\nc0d3a0ab9b47ab9bc81cf5d831053431 596acbbfd7bc54dcc06123b7adfb7337f8ceab736004ce930d8286c8914b8e25\r\n6c4e8c4880e388a49681cc169ccd4032 fa7bbc46a7b062a5828380b7c70a67cb47ba10c2ef127fd2348647313f65aa11\r\na4fad68e152a0f63cc525ae770e31a66 7052cef3936c29707da0dd0d4696863b63971eefa1b0e7db611df2ce26b73f50\r\n7208e37192ad6f1d970a94d29ff02073 8f429996f5be9d59d86ba4346de535a25b9a2c3e89cf2e29dbc053d13ae99269\r\n7b20e3ac2a4ebf507f6c8358245d5db5 ae3fabbbb2e2297e31435b7a57c486f0eaf0f01738da8d0ab68214dc92373666\r\nab8bb3c1ff0c19358b5cd9867dbf2206 cf7570cbbca779c755729484792208900a89564669785cb26e88442278ac52b2\r\n284aab4eada2fd522740315ee90efeed 0b63f6e7621421de9968d46de243ef769a343b61597816615222387c45df80ae\r\nfb69fdb35859be1141a85a2af804340b 303abc6d8ab41cb00e3e7a2165ecc1e7fb4377ba46a9f4213a05f764567182e5\r\ne1fe781714ecb763ccd1568f7fa11443 a0a39c06f56d63b9d37f7e72c24ec0768fe0aff497870ef879d7ae813d84bf1e\r\n872ef25c5c544b277b6185d75f33f9fb 09472d6bfb1c142a3b02f73175254a5e961f91e792dc9b347b099944bcfeab6f\r\nМережеві:\r\nInfo@military-ukraine[.]site (envelope-from)\r\n194[.]58.104.86 (Received from)\r\nhxxps://military-ukraine[.]site/Necessary_military_assistance.rar\r\nhxxp://military-ukraine[.]site/Assistance.rar\r\nhxxp://military-ukraine[.]online/predicate/images/favicon.ico\r\nhxxp://military-ukraine[.]online/headstone/images/favicon.ico\r\nhxxp://co87972.tmweb[.]ru/select/guarded/favicon.ico\r\nhxxp://co87972.tmweb[.]ru/intent/quick/favicon.ico\r\nhxxp://co87972.tmweb[.]ru/seeing/network/favicon.ico\r\nmilitary-ukraine[.]site\r\nhttps://cert.gov.ua/article/39086\r\nPage 1 of 2\n\nmilitary-ukraine[.]online\r\nco87972.tmweb[.]ru\r\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/39086\r\nhttps://cert.gov.ua/article/39086\r\nPage 2 of 2", "extraction_quality": 1, "language": "EN", "sources": [ "Malpedia", "MISPGALAXY" ], "references": [ "https://cert.gov.ua/article/39086" ], "report_names": [ "39086" ], "threat_actors": [ { "id": "81bd7107-6b2d-45c9-9eea-1843d4b9b308", "created_at": "2022-10-25T15:50:23.320841Z", "updated_at": "2026-04-10T02:00:05.356444Z", "deleted_at": null, "main_name": "Gamaredon Group", "aliases": [ "Gamaredon Group", "IRON TILDEN", "Primitive Bear", "ACTINIUM", "Armageddon", "Shuckworm", "DEV-0157", "Aqua Blizzard" ], "source_name": "MITRE:Gamaredon Group", "tools": [ "QuietSieve", "Pteranodon", "Remcos", "PowerPunch" ], "source_id": "MITRE", "reports": null }, { "id": "d5156b55-5d7d-4fb2-836f-861d2e868147", "created_at": "2023-01-06T13:46:38.557326Z", "updated_at": "2026-04-10T02:00:03.023048Z", "deleted_at": null, "main_name": "Gamaredon Group", "aliases": [ "ACTINIUM", "DEV-0157", "Blue Otso", "G0047", "IRON TILDEN", "PRIMITIVE BEAR", "Shuckworm", "UAC-0010", "BlueAlpha", "Trident Ursa", "Winterflounder", "Aqua Blizzard", "Actinium" ], "source_name": "MISPGALAXY:Gamaredon Group", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "61940e18-8f90-4ecc-bc06-416c54bc60f9", "created_at": "2022-10-25T16:07:23.659529Z", "updated_at": "2026-04-10T02:00:04.703976Z", "deleted_at": null, "main_name": "Gamaredon Group", "aliases": [ "Actinium", "Aqua Blizzard", "Armageddon", "Blue Otso", "BlueAlpha", "Callisto", "DEV-0157", "G0047", "Iron Tilden", "Operation STEADY#URSA", "Primitive Bear", "SectorC08", "Shuckworm", "Trident Ursa", "UAC-0010", "UNC530", "Winterflounder" ], "source_name": "ETDA:Gamaredon Group", "tools": [ "Aversome infector", "BoneSpy", "DessertDown", "DilongTrash", "DinoTrain", "EvilGnome", "FRAUDROP", "Gamaredon", "GammaDrop", "GammaLoad", "GammaSteel", "Gussdoor", "ObfuBerry", "ObfuMerry", "PlainGnome", "PowerPunch", "Pteranodon", "Pterodo", "QuietSieve", "Remcos", "RemcosRAT", "Remote Manipulator System", "Remvio", "Resetter", "RuRAT", "SUBTLE-PAWS", "Socmer", "UltraVNC" ], "source_id": "ETDA", "reports": null }, { "id": "236a8303-bf12-4787-b6d0-549b44271a19", "created_at": "2024-06-04T02:03:07.966137Z", "updated_at": "2026-04-10T02:00:03.706923Z", "deleted_at": null, "main_name": "IRON TILDEN", "aliases": [ "ACTINIUM ", "Aqua Blizzard ", "Armageddon", "Blue Otso ", "BlueAlpha ", "Dancing Salome ", "Gamaredon", "Gamaredon Group", "Hive0051 ", "Primitive Bear ", "Shuckworm ", "Trident Ursa ", "UAC-0010 ", "UNC530 ", "WinterFlounder " ], "source_name": "Secureworks:IRON TILDEN", "tools": [ "Pterodo" ], "source_id": "Secureworks", "reports": null } ], "ts_created_at": 1775434054, "ts_updated_at": 1775792224, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/58445cf22151603eeafa997d4fe0b2043e62eab8.pdf", "text": "https://archive.orkl.eu/58445cf22151603eeafa997d4fe0b2043e62eab8.txt", "img": "https://archive.orkl.eu/58445cf22151603eeafa997d4fe0b2043e62eab8.jpg" } }