{
	"id": "cc465dab-78a0-4d9e-b721-323d9721687e",
	"created_at": "2026-04-06T01:29:44.426852Z",
	"updated_at": "2026-04-10T13:11:40.577617Z",
	"deleted_at": null,
	"sha1_hash": "58e38023c35a14bd0ee8ae8bdf7e6ae19b942d15",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 4022649,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-06 01:23:29 UTC\r\nВ телеграм-каналі \"CyberArmyofRussia_Reborn\" 17.01.2023 близько 12:39 опубліковано інформацію щодо\r\nпорушення штатного режиму функціонування декількох елементів інформаційно-комунікаційної системи\r\n(далі - ІКС) Українського національного інформаційного агентства \"Укрінформ\".\r\nЗа зверненням Агентства Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA 17.01.2023 ініційовано заходи щодо дослідження кібератаки.\r\nСтаном на 27.01.2023 виявлено 5 зразків шкідливих програм (скриптів), функціонал яких спрямовано на\r\nпорушення цілісності та доступності інформації (запис файлів/дисків нульовими байтами/довільними\r\nданими та їх подальше видалення), а саме:\r\nCaddyWiper (Windows)\r\nZeroWipe (Windows)\r\nSDelete (Windows)\r\nAwfulShred (Linux)\r\nBidSwipe (FreeBSD)\r\nЗ'ясовано, що зловмисниками здійснено невдалу спробу порушення штатного режиму роботи комп'ютерів\r\nкористувачів з використанням шкідливих програм-деструкторів CaddyWiper та ZeroWipe, а також\r\nлегітимної утиліти SDelete (запуск якої передбачалося здійснити за допомогою \"news.bat\"). При цьому, з\r\nметою централізованого розповсюдження шкідливих програм, створено об'єкт групової політики (GPO),\r\nщо, у свою чергу, забезпечував створення відповідних запланованих завдань.\r\nІснують підстави вважати, що етап розвідки ІКС Українського національного інформаційного агентства\r\n\"Укрінформ\" проведно не пізніше 07.12.2022. Встановлено, що завершальну стадію кібератаки ініційовано\r\n17.01.2023, проте, вона мала лише частковий успіх, зокрема, у відношенні декількох систем зберігання\r\nданих.\r\nВ процесі дослідження визначено елемент ІКС, за допомогою якого створено передумови для\r\nнесанкціонованого віддаленого доступу до інформаційних ресурсів Агентства.\r\nБеручи до уваги результати дослідження, вважаємо за можливе стверджувати, що кібератаку здійснено\r\nгрупою UAC-0082 (Sandworm), діяльність якої асоціюється з гу гш зс рф.\r\nСлід зауважити, що згаданий телеграм-канал, поряд із типовими повідомленнями щодо DDoS-атак та\r\nдефейсів, ексклюзивно висвітлює деструктивну активність, що здійснюється згаданим угрупуванням.\r\nІндикатори компрометації\r\nФайли:\r\nhttps://cert.gov.ua/article/3718487\r\nPage 1 of 5\n\ncc213200daf4202e2454dc2c363db04f\r\n00782ccd65a1e03e3e74ce1e59e752926e0a050818fa195bd7e5a5b359500758\r\n54e5773071b193e109cbacc82565c6a9e3bc3689f01fd431cd2ed368ae91eceaa7c465c2781fa7b7dc2ec9143a404f79\r\n6aa899b47596323da573fb218f3a8266  301b248a8291df6c7f3565a3dac17ee69609f36ef474b4f20eebe134746a9cac\r\n803df907d936e08fbbd06020c411be93  e8eaa39e2adfd49ab69d7bb8504ccb82a902c8b48fbc256472f36f41775e594c\r\n3a1070b882d6843fcfa9490c24700bd1  246607235d560e90590dcf1b0507ab18de74afcc4429d8d5f3ba97eacc92d73f\r\n4a5863d34fc99e91af11dd7976c36c27  66548ba6ca6d34b7d17e42ab2e1405db1c581a516e0b1a4942d373d6d5396ba4\r\nХостові:\r\npowershell.exe -Enc JABQAHIAbwBnAHIAZQBzAHMAUAByAGUAZg[...]xADgALgB0AG0AcAAnAA==\r\npowershell.exe -Enc JABQAHIAbwBnAHIAZQBzAHMAUAByAGUAZg[...]zADEAOAAuAHQAbQBwACcA\r\npowershell.exe -Enc JABQAHIAbwBnAHIAZQBzAHMAUAByAGUAZg[...]5AEEAQgAuAGwAbwBnACcA\r\npowershell.exe -Enc JABQAHIAbwBnAHIAZQBzAHMAUAByAGUAZg[...]2ADQALgBsAG8AZwAnAA==\r\n$ProgressPreference=\"SilentlyContinue\";copy C:\\windows\\system32\\winevt\\logs\\Security.evtx C:\\windows\\\r\n$ProgressPreference=\"SilentlyContinue\";copy C:\\windows\\system32\\winevt\\logs\\Security.evtx C:\\windows\\\r\n$ProgressPreference=\"SilentlyContinue\";dnscmd /enumrecords %DOMAIN% . /type A /child \u003e 'C:\\windows\\te\r\n$ProgressPreference=\"SilentlyContinue\";hostname \u003e 'C:\\VLOG\\dd_vcredist_x86_20200324195140_001_vcRunti\r\nicacls.exe C:\\Windows\\explorer.exe /deny *S-1-1-0:F\r\ntakeown /F C:\\Windows\\explorer.exe\r\nC:\\Users\\new.exe\r\nC:\\VLOG\\dd_vcredist_x86_20200324195140_001_vcRuntimeAdditional_x64.log\r\nC:\\Windows\\SYSVOL\\domain\\Policies\\{31B2F340-016D-11D2-945F-00C04FB984F9}\\MACHINE\\news.bat\r\nC:\\Windows\\SYSVOL\\domain\\Policies\\{31B2F340-016D-11D2-945F-00C04FB984F9}\\MACHINE\\upd.exe\r\nC:\\Windows\\new.bat\r\nC:\\Windows\\up.exe\r\nC:\\windows\\temp\\BRN3C2AF47629AB.log\r\nC:\\windows\\temp\\TS_4318.tmp\r\nC:\\windows\\temp\\b8WTBWCoF5.log\r\n\\\\%DOMAIN%\\SYSVOL\\%DOMAIN%\\Policies\\{31B2F340-016D-11D2-945F-00C04FB984F9}\\MACHINE\\news.bat\r\n\\\\%DOMAIN%\\SYSVOL\\%DOMAIN%\\Policies\\{31B2F340-016D-11D2-945F-00C04FB984F9}\\MACHINE\\upd.exe\r\ncertutil (Process Name)\r\ncopy (Process Name)\r\ndnscmd (Process Name)\r\nhostname (Process Name)\r\nicacls.exe (Process Name)\r\nshutdown (Process Name)\r\ntakeown (Process Name)\r\nWindows_Security_Update_HxW (Scheduled Task)\r\nWindows_Security_Update_gMj (Scheduled Task)\r\nWindows_Security_Update_xBQ (Scheduled Task)\r\n/root/r.sh\r\n/sbin/audit.sh\r\nМережеві:\r\nhttps://cert.gov.ua/article/3718487\r\nPage 2 of 5\n\n185[.]220.101.185\r\nDE@digitalcourage[.]de (TOR Relay: relayon1185)\r\n185[.]220.102.244DE@digitalcourage[.]de (TOR Relay: Digitalcourage4ipea)\r\n185[.]220.102.245 DE @digitalcourage[.]de (TOR Relay: Digitalcourage4ipfb)\r\n185[.]220.102.248 DE @digitalcourage[.]de (TOR Relay: Digitalcourage4ip1b)\r\n185[.]220.102.250 DE @digitalcourage[.]de (TOR Relay: Digitalcourage4ip3a)\r\n185[.]220.102.251 DE @digitalcourage[.]de (TOR Relay: Digitalcourage4ip4a)\r\n45[.]154.98.225 NL @as210558[.]net (TOR relay: prsv)\r\n77[.]91.123.136 NL @stark-industries[.]solutions (TOR Relay: lePaysduDragon)\r\n80[.]67.167.81 FR @milkywan[.]fr (TOR Relay: arecoque1)\r\n194[.]28.172.172  UA @besthosting[.]ua (torguard[.]net; secureconnect[.]me)\r\n194[.]28.172.81 UA @besthosting[.]ua (torguard[.]net; secureconnect[.]me)\r\nГрафічні зображення\r\nРис.1 Зразок декомпільованого програмного коду CaddyWiper (v3)\r\nРис.2 Зразок декомпільованого програмного коду ZeroWipe\r\nhttps://cert.gov.ua/article/3718487\r\nPage 3 of 5\n\nРис.3 Приклад програмного коду файлу \"news.bat\", який здійснює запуск утиліти SDelete\r\nРис.4 Приклад оригінального та деобфускованого програмного коду AwfulShred\r\nhttps://cert.gov.ua/article/3718487\r\nPage 4 of 5\n\nРис.5 Приклад налаштувань запланованих завдань\r\nSource: https://cert.gov.ua/article/3718487\r\nhttps://cert.gov.ua/article/3718487\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://cert.gov.ua/article/3718487"
	],
	"report_names": [
		"3718487"
	],
	"threat_actors": [
		{
			"id": "8941e146-3e7f-4b4e-9b66-c2da052ee6df",
			"created_at": "2023-01-06T13:46:38.402513Z",
			"updated_at": "2026-04-10T02:00:02.959797Z",
			"deleted_at": null,
			"main_name": "Sandworm",
			"aliases": [
				"IRIDIUM",
				"Blue Echidna",
				"VOODOO BEAR",
				"FROZENBARENTS",
				"UAC-0113",
				"Seashell Blizzard",
				"UAC-0082",
				"APT44",
				"Quedagh",
				"TEMP.Noble",
				"IRON VIKING",
				"G0034",
				"ELECTRUM",
				"TeleBots"
			],
			"source_name": "MISPGALAXY:Sandworm",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "7bd810cb-d674-4763-86eb-2cc182d24ea0",
			"created_at": "2022-10-25T16:07:24.1537Z",
			"updated_at": "2026-04-10T02:00:04.883793Z",
			"deleted_at": null,
			"main_name": "Sandworm Team",
			"aliases": [
				"APT 44",
				"ATK 14",
				"BE2",
				"Blue Echidna",
				"CTG-7263",
				"FROZENBARENTS",
				"G0034",
				"Grey Tornado",
				"IRIDIUM",
				"Iron Viking",
				"Quedagh",
				"Razing Ursa",
				"Sandworm",
				"Sandworm Team",
				"Seashell Blizzard",
				"TEMP.Noble",
				"UAC-0082",
				"UAC-0113",
				"UAC-0125",
				"UAC-0133",
				"Voodoo Bear"
			],
			"source_name": "ETDA:Sandworm Team",
			"tools": [
				"AWFULSHRED",
				"ArguePatch",
				"BIASBOAT",
				"Black Energy",
				"BlackEnergy",
				"CaddyWiper",
				"Colibri Loader",
				"Cyclops Blink",
				"CyclopsBlink",
				"DCRat",
				"DarkCrystal RAT",
				"Fobushell",
				"GOSSIPFLOW",
				"Gcat",
				"IcyWell",
				"Industroyer2",
				"JaguarBlade",
				"JuicyPotato",
				"Kapeka",
				"KillDisk.NCX",
				"LOADGRIP",
				"LOLBAS",
				"LOLBins",
				"Living off the Land",
				"ORCSHRED",
				"P.A.S.",
				"PassKillDisk",
				"Pitvotnacci",
				"PsList",
				"QUEUESEED",
				"RansomBoggs",
				"RottenPotato",
				"SOLOSHRED",
				"SwiftSlicer",
				"VPNFilter",
				"Warzone",
				"Warzone RAT",
				"Weevly"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775438984,
	"ts_updated_at": 1775826700,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/58e38023c35a14bd0ee8ae8bdf7e6ae19b942d15.pdf",
		"text": "https://archive.orkl.eu/58e38023c35a14bd0ee8ae8bdf7e6ae19b942d15.txt",
		"img": "https://archive.orkl.eu/58e38023c35a14bd0ee8ae8bdf7e6ae19b942d15.jpg"
	}
}