CERT-UA
Archived: 2026-04-06 01:23:29 UTC
В телеграм-каналі "CyberArmyofRussia_Reborn" 17.01.2023 близько 12:39 опубліковано інформацію щодо
порушення штатного режиму функціонування декількох елементів інформаційно-комунікаційної системи
(далі - ІКС) Українського національного інформаційного агентства "Укрінформ".
За зверненням Агентства Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA 17.01.2023 ініційовано заходи щодо дослідження кібератаки.
Станом на 27.01.2023 виявлено 5 зразків шкідливих програм (скриптів), функціонал яких спрямовано на
порушення цілісності та доступності інформації (запис файлів/дисків нульовими байтами/довільними
даними та їх подальше видалення), а саме:
CaddyWiper (Windows)
ZeroWipe (Windows)
SDelete (Windows)
AwfulShred (Linux)
BidSwipe (FreeBSD)
З'ясовано, що зловмисниками здійснено невдалу спробу порушення штатного режиму роботи комп'ютерів
користувачів з використанням шкідливих програм-деструкторів CaddyWiper та ZeroWipe, а також
легітимної утиліти SDelete (запуск якої передбачалося здійснити за допомогою "news.bat"). При цьому, з
метою централізованого розповсюдження шкідливих програм, створено об'єкт групової політики (GPO),
що, у свою чергу, забезпечував створення відповідних запланованих завдань.
Існують підстави вважати, що етап розвідки ІКС Українського національного інформаційного агентства
"Укрінформ" проведно не пізніше 07.12.2022. Встановлено, що завершальну стадію кібератаки ініційовано
17.01.2023, проте, вона мала лише частковий успіх, зокрема, у відношенні декількох систем зберігання
даних.
В процесі дослідження визначено елемент ІКС, за допомогою якого створено передумови для
несанкціонованого віддаленого доступу до інформаційних ресурсів Агентства.
Беручи до уваги результати дослідження, вважаємо за можливе стверджувати, що кібератаку здійснено
групою UAC-0082 (Sandworm), діяльність якої асоціюється з гу гш зс рф.
Слід зауважити, що згаданий телеграм-канал, поряд із типовими повідомленнями щодо DDoS-атак та
дефейсів, ексклюзивно висвітлює деструктивну активність, що здійснюється згаданим угрупуванням.
Індикатори компрометації
Файли:
https://cert.gov.ua/article/3718487
Page 1 of 5

cc213200daf4202e2454dc2c363db04f
00782ccd65a1e03e3e74ce1e59e752926e0a050818fa195bd7e5a5b359500758
54e5773071b193e109cbacc82565c6a9e3bc3689f01fd431cd2ed368ae91eceaa7c465c2781fa7b7dc2ec9143a404f79
6aa899b47596323da573fb218f3a8266  301b248a8291df6c7f3565a3dac17ee69609f36ef474b4f20eebe134746a9cac
803df907d936e08fbbd06020c411be93  e8eaa39e2adfd49ab69d7bb8504ccb82a902c8b48fbc256472f36f41775e594c
3a1070b882d6843fcfa9490c24700bd1  246607235d560e90590dcf1b0507ab18de74afcc4429d8d5f3ba97eacc92d73f
4a5863d34fc99e91af11dd7976c36c27  66548ba6ca6d34b7d17e42ab2e1405db1c581a516e0b1a4942d373d6d5396ba4
Хостові:
powershell.exe -Enc JABQAHIAbwBnAHIAZQBzAHMAUAByAGUAZg[...]xADgALgB0AG0AcAAnAA==
powershell.exe -Enc JABQAHIAbwBnAHIAZQBzAHMAUAByAGUAZg[...]zADEAOAAuAHQAbQBwACcA
powershell.exe -Enc JABQAHIAbwBnAHIAZQBzAHMAUAByAGUAZg[...]5AEEAQgAuAGwAbwBnACcA
powershell.exe -Enc JABQAHIAbwBnAHIAZQBzAHMAUAByAGUAZg[...]2ADQALgBsAG8AZwAnAA==
$ProgressPreference="SilentlyContinue";copy C:\windows\system32\winevt\logs\Security.evtx C:\windows\
$ProgressPreference="SilentlyContinue";copy C:\windows\system32\winevt\logs\Security.evtx C:\windows\
$ProgressPreference="SilentlyContinue";dnscmd /enumrecords %DOMAIN% . /type A /child > 'C:\windows\te
$ProgressPreference="SilentlyContinue";hostname > 'C:\VLOG\dd_vcredist_x86_20200324195140_001_vcRunti
icacls.exe C:\Windows\explorer.exe /deny *S-1-1-0:F
takeown /F C:\Windows\explorer.exe
C:\Users\new.exe
C:\VLOG\dd_vcredist_x86_20200324195140_001_vcRuntimeAdditional_x64.log
C:\Windows\SYSVOL\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\news.bat
C:\Windows\SYSVOL\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\upd.exe
C:\Windows\new.bat
C:\Windows\up.exe
C:\windows\temp\BRN3C2AF47629AB.log
C:\windows\temp\TS_4318.tmp
C:\windows\temp\b8WTBWCoF5.log
\\%DOMAIN%\SYSVOL\%DOMAIN%\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\news.bat
\\%DOMAIN%\SYSVOL\%DOMAIN%\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\upd.exe
certutil (Process Name)
copy (Process Name)
dnscmd (Process Name)
hostname (Process Name)
icacls.exe (Process Name)
shutdown (Process Name)
takeown (Process Name)
Windows_Security_Update_HxW (Scheduled Task)
Windows_Security_Update_gMj (Scheduled Task)
Windows_Security_Update_xBQ (Scheduled Task)
/root/r.sh
/sbin/audit.sh
Мережеві:
https://cert.gov.ua/article/3718487
Page 2 of 5

185[.]220.101.185
DE@digitalcourage[.]de (TOR Relay: relayon1185)
185[.]220.102.244DE@digitalcourage[.]de (TOR Relay: Digitalcourage4ipea)
185[.]220.102.245 DE @digitalcourage[.]de (TOR Relay: Digitalcourage4ipfb)
185[.]220.102.248 DE @digitalcourage[.]de (TOR Relay: Digitalcourage4ip1b)
185[.]220.102.250 DE @digitalcourage[.]de (TOR Relay: Digitalcourage4ip3a)
185[.]220.102.251 DE @digitalcourage[.]de (TOR Relay: Digitalcourage4ip4a)
45[.]154.98.225 NL @as210558[.]net (TOR relay: prsv)
77[.]91.123.136 NL @stark-industries[.]solutions (TOR Relay: lePaysduDragon)
80[.]67.167.81 FR @milkywan[.]fr (TOR Relay: arecoque1)
194[.]28.172.172  UA @besthosting[.]ua (torguard[.]net; secureconnect[.]me)
194[.]28.172.81 UA @besthosting[.]ua (torguard[.]net; secureconnect[.]me)
Графічні зображення
Рис.1 Зразок декомпільованого програмного коду CaddyWiper (v3)
Рис.2 Зразок декомпільованого програмного коду ZeroWipe
https://cert.gov.ua/article/3718487
Page 3 of 5

Рис.3 Приклад програмного коду файлу "news.bat", який здійснює запуск утиліти SDelete
Рис.4 Приклад оригінального та деобфускованого програмного коду AwfulShred
https://cert.gov.ua/article/3718487
Page 4 of 5

Рис.5 Приклад налаштувань запланованих завдань
Source: https://cert.gov.ua/article/3718487
https://cert.gov.ua/article/3718487
Page 5 of 5