{
	"id": "22dfeef8-c96f-4fe8-8e19-8bee6076c9b2",
	"created_at": "2026-04-06T00:21:26.934182Z",
	"updated_at": "2026-04-10T03:33:18.815942Z",
	"deleted_at": null,
	"sha1_hash": "58cbcc11aec1add7770999cfba127c9334d48dc4",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2088635,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 16:50:10 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA 22.10.2024 отримано\r\nінформацію щодо масового розповсюдження серед органів державної влади, підприємств основних\r\nгалузей промисловості та військових формувань електронних листів з тематиками, присвяченими, нібито,\r\nпитанням \"інтеграції\" з сервісами Amazon, Microsoft та впровадження архітектутри \"нульової\" довіри\r\n(Zero trust architecture, ZTA).\r\nУ якості вкладення згадані листи містили конфігураційні файли налаштування протоколу віддаленого\r\nробочого столу RDP (\".rdp\"), запуск яких забезпечував встановлення вихідного RDP-з'єднання з сервером\r\nзловмисників. При цьому, зважаючи на параметри RDP-файлу, під час такого RDP-підключення\r\nвіддаленому серверу не тільки надавався доступ до дисків, мережевих ресурсів, принтерів, COM-портів,\r\nаудіо-пристроїв, буферу обміну та інших ресурсів на локальному комп'ютері, а й могли бути створені\r\nтехнічні передумови для запуску на комп'ютері жертви сторонніх програм/скриптів.\r\nВідповідно до інформації профільних організацій інших країн можемо стверджувати, що активність має\r\nшироку географію.\r\nДослідження пов'язаних доменних імен дозволяє припустити, що підготовка інфраструктури для\r\nпроведення кібератак здійснювалася, щонайменше, з серпня 2024 року. Звертаємо увагу, що IP-адреси та\r\nдоменні імена, наведені в розділі \"Індикатори кіберзароз\", виявлено по ряду схожостей та можуть не мати\r\nвідношення до розглянутого кіберінциденту.\r\nОчевидно, що скорочення поверхні атаки можна досягнути шляхом комбінації технічних заходів, зокрема:\r\nблокування \".rdp\" файлів на поштовому шлюзі\r\nблокування можливості запуску будь-яких \".rdp\" файлів користувачами (створення виключень)\r\nналаштування міжмережевого екрану для обмеження можливості встановлення RDP-з'єднань\r\nпрограмою mstsc.exe до ресурсів в мережі Інтернет\r\nналаштування групових політик (адміністративного шаблону) для заборони перенаправлення\r\nресурсів ЕОМ за допомогою RDP (\"Remote Desktop Services\" -\u003e \"Remote Desktop Session Host\" -\u003e\r\n\"Device and Resource Redirection\" -\u003e \"Do not allow...\")\r\nЗ метою пошуку можливих ознак реалізації описаної кіберзагрози рекомендуємо перевірити журнали\r\nмережевої взаємодії з наведеними IP-дресами та доменними іменами, а також, за поточний місяць, окремо\r\nпроаналізувати легітимність всіх вихідних мережевих з'єднань до будь-яких IP-адрес в мережі Інтернет\r\n(порт 3389/tcp).\r\nОписана активність відстежується за ідентифікатором UAC-0215.\r\nhttps://cert.gov.ua/article/6281076\r\nPage 1 of 7\n\nІндикатори кіберзагроз\r\nФайли:\r\na5de73d69c1a7fbae2e71b98d48fe9b5  34c88cd591f73bc47a1a0fe2a4f594f628be98ad2366eeb4e467595115d8505a\r\n8bcb741a204c25232a11a7084aa2221f  071276e907f185d9e341d549b198e60741e2c7f8d64dd2ca2c5d88d50b2c6ffc\r\n86f58115c891ce91b7364e5ff0314b31  6e6680786fa5b023cf301b6bc5faaa89c86dc34b696f4b078cf22b1b353d5d3c\r\n80b3cad4f70b6ea8924aa13d2730328b  31f2cc1157248aec5135147073e49406d057bebf78b3361dd7cbb6e37708fbcc\r\nc0da30b71d58e071fc5863381444d9f0  88fd6a36e8a61597dd71755b985e5fcd0b8308b69fc0f4b0fc7960fb80018622\r\n1595266bb78dc1e3d67f929154824c74  b8327671ebc20db6f09efc4f19bd8c39d9e28c9a37bdd15b2fd62ade208d2e8a\r\n222c83d156a41735c38cc552a7084a86  a5bbb109faefcecba695a84a737f5e47fa418cea39d654bb512a6f4a0b148758\r\nfa9af43e9bbb55b7512b369084d91f4d  5534cc837ba4fa3726322883449b3e97ca3e0d28c0ccf468b868397fdfa44e0b\r\n281a28800a4ba744bfde7b4aff46f24e  b9ab481e7a9a92cfa2d53de8e7a3c75287cff6a3374f4202ec16ea9e03d80a0b\r\nd37cd2c462af0e0643076b20c5ff561e  18a078a976734c9ec562f5dfa3f5904ef5d37000fb8c1f5bd0dc2dee47203bf9\r\ne465a4191a93195094a803e5d4703a90  bb4d5a3f7a40c895882b73e1aca8c71ea40cef6c4f6732bec36e6342f6e2487a\r\n3f753810430b26b94a172fbf816e7d76  ef4bd88ec5e8b401594b22632fd05e401658cf78de681f81409eadf93f412ebd\r\n434ffae8cfc3caa370be2e69ffaa95d1  1cfe29f214d1177b66aec2b0d039fec47dd94c751fa95d34bc5da3bbab02213a\r\nc287c05d91a19796b2649ebebd27394b  3a2496db64507311f5fbd3aba0228b653f673fc2152a267a1386cbab33798db5\r\naabbfd1acd3f3a2212e348f2d6f169fc  984082823dc1f122a1bb505700c25b27332f54942496814dfd0c68de0eba59dc\r\nb0a0ad4093e781a278541e4b01daa7a8  383e63f40aecdd508e1790a8b7535e41b06b3f6984bb417218ca96e554b1164b\r\na18a1cad9df5b409963601c8e30669e4  296d446cb2ad93255c45a2d4b674bbacb6d1581a94cf6bb5e54df5a742502680\r\ncbbc4903da831b6f1dc39d0c8d3fc413  129ba064dfd9981575c00419ee9df1c7711679abc974fa4086076ebc3dc964f5\r\nbd711dc427e17cc724f288cc5c3b0842  f2acb92d0793d066e9414bc9e0369bd3ffa047b40720fe3bd3f2c0875d17a1cb\r\nb38e7e8bba44bc5619b2689024ad9fca f357d26265a59e9c356be5a8ddb8d6533d1de222aae969c2ad4dc9c40863bfe8\r\n40f957b756096fa6b80f95334ba92034 280fbf353fdffefc5a0af40c706377142fff718c7b87bc8b0daab10849f388d0\r\ndb326d934e386059cc56c4e61695128e 8b45f5a173e8e18b0d5c544f9221d7a1759847c28e62a25210ad8265f07e96d5\r\nf58cf55b944f5942f1d120d95140b800 ba4d58f2c5903776fe47c92a0ec3297cc7b9c8fa16b3bf5f40b46242e7092b46\r\nМережеві:\r\nyulia.antonenko@townoflakelure.com\r\nalexandra.gerst@townoflakelure.com\r\noleksii.myronov@townoflakelure.com\r\nca-central-1.awsplatform[.]online\r\nca-west-1.mfa-gov[.]cloud\r\ncentral-2-aws.ua-aws[.]army\r\neu-central-1-aws.mfa-gov[.]cloud\r\neu-central-1.mfa-gov[.]cloud\r\neu-central-1.ukrtelecom[.]cloud\r\neu-central-2-aws.ua-aws[.]army\r\neu-north-1-aws.ua-energy[.]cloud\r\neu-north-1-aws.ua-gov[.]cloud\r\neu-south-1-aws.mfa-gov[.]cloud\r\neu-south-2-aws.mfa-gov[.]cloud\r\neu-southeast-1-aws.gov-ua[.]cloud\r\nhttps://cert.gov.ua/article/6281076\r\nPage 2 of 7\n\neu-southeast-1-aws.govtr[.]cloud\r\neu-southeast-1-aws.zero-trust[.]solutions\r\nus-east-1-aws.mfa-gov[.]cloud\r\nus-east-2-aws.ua-gov[.]cloud\r\nus-east-console.awsplatform[.]online\r\nus-west-1-amazon.ua-energy[.]cloud\r\nus-west-1.aws-ukraine[.]cloud\r\nus-west-1.ua-aws[.]army\r\nus-west-1.ukrtelecom[.]cloud\r\nus-west-2-aws.mfa-gov[.]cloud\r\nzero-trust.solutions2024-09-10\r\nukrtelecom.cloud 2024-08-15\r\nawsplatform.online2024-08-19\r\naws-ukraine.cloud 2024-08-15\r\naws-s3.cloud2024-09-16\r\naws-meet.cloud 2024-09-20\r\naws-il.cloud2024-09-24\r\naws-data.cloud2024-09-26\r\naws-meetings.cloud2024-09-26\r\naws-secure.cloud2024-09-26\r\naws-join.cloud2024-09-27\r\naws-online.cloud2024-10-08\r\ngov-au[.]cloud 2024-08-07\r\ngov-aws[.]cloud 2024-09-27\r\ngov-fi[.]cloud 2024-08-14\r\ngov-gr[.]cloud 2024-08-14\r\ngov-lt[.]cloud 2024-08-14\r\ngov-lv[.]cloud 2024-09-23\r\ngov-pl[.]cloud 2024-08-23\r\ngov-sk[.]cloud 2024-08-26\r\ngov-trust[.]cloud 2024-09-27\r\ngov-ua[.]cloud 2024-08-15\r\ngovps[.]cloud 2024-08-14\r\ngovtr[.]cloud 2024-08-15\r\ngovua[.]cloud 2024-08-15\r\neru-gov[.]cloud 2024-09-10\r\nfeedzai-gov[.]cloud 2024-10-10\r\nmd-gov[.]cloud 2024-09-10\r\nmf-gov[.]cloud 2024-09-10\r\nmo-gov[.]cloud 2024-09-10\r\nmpo-gov[.]cloud 2024-09-10\r\nmpsv-gov[.]cloud 2024-09-10\r\nhttps://cert.gov.ua/article/6281076\r\nPage 3 of 7\n\nmsmt-gov[.]cloud 2024-09-10\r\nmv-gov[.]cloud 2024-09-10\r\nmy-gov[.]cloud 2024-08-03\r\nmzd-gov[.]cloud 2024-09-10\r\nmze-gov[.]cloud 2024-09-10\r\nmzp-gov[.]cloud 2024-09-10\r\nmzv-gov[.]cloud 2024-09-10\r\nnakit-gov[.]cloud 2024-09-10\r\nnbu-gov[.]cloud 2024-09-10\r\nnukib-gov[.]cloud 2024-09-10\r\npolicie-gov[.]cloud 2024-09-10\r\nmmr-gov[.]cloud 2024-09-10\r\nuohs-gov[.]cloud 2024-09-10\r\nuoou-gov[.]cloud 2024-09-10\r\nvlada-gov[.]cloud 2024-09-10\r\nvoa-gov[.]cloud 2024-09-24\r\nmfa-gov[.]cloud 2024-08-15\r\nmfa-gov[.]cloud 2024-08-15\r\nmfa-gov-il[.]cloud 2024-09-17\r\nmfa-gov-il[.]cloud 2024-09-17\r\nmfa-gov-tr[.]cloud 2024-08-14\r\nmfa-gov-tr[.]cloud 2024-08-14\r\nmil-be[.]cloud 2024-08-21\r\nmil-ee[.]cloud 2024-08-13\r\nmil-pl[.]cloud 2024-08-23\r\nmil-pt[.]cloud 2024-09-09\r\nmod-gov-il[.]cloud 2024-09-17\r\nmod-gov-il[.]cloud 2024-09-17\r\ns3-acronis[.]cloud 2024-09-10\r\ns3-army[.]cloud 2024-08-15\r\ns3-atlassian[.]cloud 2024-09-09\r\ns3-aws[.]cloud 2024-09-17\r\ns3-bah[.]cloud 2024-09-10\r\ns3-be[.]cloud 2024-08-21\r\ns3-blackberry[.]cloud 2024-09-05\r\ns3-csis[.]cloud 2024-09-12\r\ns3-de[.]cloud 2024-08-26\r\ns3-dgap[.]cloud 2024-09-12\r\ns3-dk[.]cloud 2024-08-21\r\ns3-dnc[.]cloud 2024-09-04\r\ns3-esa[.]cloud 2024-09-03\r\ns3-fbi[.]cloud 2024-09-10\r\ns3-hudson[.]cloud 2024-09-13\r\nhttps://cert.gov.ua/article/6281076\r\nPage 4 of 7\n\ns3-ida[.]cloud 2024-09-12\r\ns3-iri[.]cloud 2024-09-12\r\ns3-knowbe4[.]cloud 2024-09-04\r\ns3-marcus[.]cloud 2024-09-13\r\ns3-monitoring[.]cloud 2024-09-09\r\ns3-nato[.]cloud 2024-08-23\r\ns3-ned[.]cloud 2024-09-13\r\ns3-nsa[.]cloud 2024-09-27\r\ns3-proofpoint[.]cloud 2024-09-02\r\ns3-pt[.]cloud 2024-09-04\r\ns3-rackspace[.]cloud 2024-09-03\r\ns3-rand[.]cloud 2024-09-10\r\ns3-spacex[.]cloud 2024-09-13\r\ns3-state[.]cloud 2024-09-12\r\ns3-stig[.]cloud 2024-08-30\r\ns3-ua[.]cloud 2024-08-28\r\ns3-ucia[.]cloud 2024-09-10\r\ns3-zoho[.]cloud 2024-09-17\r\nua-aws.army 2024-09-12\r\nua-energy[.]cloud 2024-08-26\r\nua-gov[.]cloud 2024-08-19\r\nua-gov[.]cloud 2024-08-19\r\nua-mil[.]cloud 2024-08-08\r\nua-sec[.]cloud 2024-08-21\r\nua-se[.]cloud 2024-10-12\r\nua-sn[.]cloud 2024-10-12\r\n37.153.155[.]143 (Email)\r\n45.42.142[.]49 (Email)\r\n45.42.142[.]89 (Email)\r\n199.204.86[.]87 (Email)\r\n181.215.148[.]194 (Email)\r\n104.247.120[.]157 (Email)\r\n204.111.198[.]27 (Email)\r\n136.0.0[.]11 (Email)\r\n38.180.110[.]238\r\n179.43.148[.]82\r\n45.11.230[.]105\r\n45.141.58[.]60\r\n95.217.113[.]133\r\n185.187.155[.]74\r\n141.195.117[.]125\r\n185.76.79[.]178\r\n2.58.201[.]112\r\n89.46.234[.]115\r\nhttps://cert.gov.ua/article/6281076\r\nPage 5 of 7\n\n84.32.188[.]193\r\n38.180.146[.]210\r\n84.32.188[.]197\r\n45.80.193[.]9\r\n45.67.85[.]40\r\n45.134.111[.]123\r\n84.32.188[.]153\r\n62.72.7[.]213\r\n93.188.163[.]16\r\n23.160.56[.]122\r\n95.156.207[.]121\r\n84.32.188[.]148\r\n166.0.187[.]233\r\n185.216.72[.]196\r\n38.180.146[.]230\r\n84.32.188[.]200\r\n45.11.231[.]8\r\n162.252.175[.]233\r\n13.49.21[.]253\r\n179.43.163[.]18\r\n46.19.141[.]186\r\n193.29.59[.]9\r\n135.181.130[.]232\r\n45.134.110[.]83\r\n185.187.155[.]73\r\n23.160.56[.]100\r\nГрафічні зображення\r\nhttps://cert.gov.ua/article/6281076\r\nPage 6 of 7\n\nРис.1 Приклад ланцюга ураження\r\nSource: https://cert.gov.ua/article/6281076\r\nhttps://cert.gov.ua/article/6281076\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia",
		"MISPGALAXY"
	],
	"references": [
		"https://cert.gov.ua/article/6281076"
	],
	"report_names": [
		"6281076"
	],
	"threat_actors": [
		{
			"id": "159b44ab-8a1c-4b6b-af29-05da47ec94c0",
			"created_at": "2024-11-03T02:00:03.646014Z",
			"updated_at": "2026-04-10T02:00:03.737465Z",
			"deleted_at": null,
			"main_name": "UAC-0215",
			"aliases": [],
			"source_name": "MISPGALAXY:UAC-0215",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434886,
	"ts_updated_at": 1775791998,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/58cbcc11aec1add7770999cfba127c9334d48dc4.pdf",
		"text": "https://archive.orkl.eu/58cbcc11aec1add7770999cfba127c9334d48dc4.txt",
		"img": "https://archive.orkl.eu/58cbcc11aec1add7770999cfba127c9334d48dc4.jpg"
	}
}