{
	"id": "2b4c9942-4318-4354-975d-5acf9ff2ebac",
	"created_at": "2026-04-06T00:13:12.734078Z",
	"updated_at": "2026-04-10T13:12:26.906561Z",
	"deleted_at": null,
	"sha1_hash": "5b3078478d2ea8d55ea1df34d98a5d8bb8448822",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2047611,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 13:56:34 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA вживаються\r\nорганізаційно-технічні заходи із запобігання, виявлення та реагування на кіберінциденти і кібератаки.\r\nТак, 07.12.2023 виявлено факт масового розповсюдження електронних листів з темою \"судових претензій\"\r\nі \"заборгованості\" та додатками у вигляді вкладених RAR-архівів, захищених паролем.\r\nУ випадку відкриття такого архіву та запуску виконуваних файлів ЕОМ може бути уражена програмами\r\nRemcosRAT (ідентифікатор ліцензії: 3DBAF89B8E287E6A5221436A08EAA6B8, ідентифікатор кампанії:\r\n\"DaVinci\") або MeduzaStealer. При цьому, зокрема, застосовано Autoit-інжектор.\r\nТипово для UAC-0050 сервери управління RemcosRAT розміщено на технічному майданчику\r\nмалайзійського хостинг-провайдера Shinjiru.\r\nЗауважимо, що для розсилання електронних листів використано легітимні скомпрометовані облікові\r\nзаписи, в т.ч. в домені gov.ua. Крім того, виявлено електронні листи, що свідчать про спрямування\r\nкібератаки проти органів державної влади Польщі.\r\nВкотре рекомендуємо елетронні листи з додатками, що захищені паролями (як архіви так і документи),\r\nфільтрувати на рівні поштових шлюзів.\r\nCERT-UA вжито заходів з протидії кіберзагрозі.\r\nІндикатори кіберзагроз\r\nФайли:\r\n573806ca8fe46711550de2e961e09145  3c99a4a03bd7c9b54ef6c2262dad042bb04f3f61f2453d336201c8e086606085\r\n6ce55c5384d54141bf6cd97787fce9a0  7d6133584418f2aeb1ae3147731c78806f93004d62beecaeb3ced5b0d8a4a727\r\nfad0fac025dc107d194710bf4d71fe93  4cc6fb5b5f416527296a4b2a84a6da92ce97dcca7db03f9e1c526048443453d2\r\n26c885bd7a28236a8f82ce795ed1c21d  d6028c7ed3324a01614e2697f4cf0d095170eff8f36fae7e6e66aa5412d08b45\r\n5e27454611915cbe6a898e0b1223c7e2  fcbc9b3b79c1ff1ca5c5d6c858b90a62be9f6c52093ebc6e6b10d743fee02019\r\ne9bda9a2099a3517fa87fbc8627d06e3  e9c848a14f2cafcf90d912d0af0530bb3075559ba134f39483d55f462941fcb8\r\n848164d084384c49937f99d5b894253e  f58d3a4b2f3f7f10815c24586fae91964eeed830369e7e0701b43895b0cefbd3\r\nf92ba75d9b1576587eac561324236965  ad87af966492f5d7c6b4ccd2a08a5adcb3dd66be1a8b8eff44f57dc3c52b7126\r\n5ae2b6a47e6fce919b191ecfe2d74b71  109a78347a8ef06775ebdab96979377aee6bb5325452754234d90955f0daf4eb\r\ne9616499683400fa97dc8e8cb466bdcb  778231490899e006025bfb14f720c8faeacac7c7c1ee7bdd607cd458804a2944\r\n502264acd60a5f84bfd6d1dad03f8862  ac5401906cefc2ecfda5a84f272c1289f5660c74753c35bfcc84ea49f13f8e41\r\n33f28845863fa59c79b3ac8669722b68  8a244379c63cf5ae11f1c79cb7834374f76fd1c6ebed293d0569102d5d6308aa\r\n00736ba8ccd459a131dda33a6563b66d  d20ef93dcd262985040f049c4df26c26b8bfcd4a97afa6cff41f5b4e92baf3fc\r\nhttps://cert.gov.ua/article/6276652\r\nPage 1 of 3\n\nМережеві:\r\n(tcp)://101[.]99.75.140:8080\r\n(tcp)://101[.]99.75.142:8080\r\n(tcp)://101[.]99.75.145:465\r\n(tcp)://101[.]99.75.145:8080\r\n(tcp)://101[.]99.75.147:465\r\n(tcp)://101[.]99.75.148:8080\r\n(tcp)://101[.]99.75.156:465\r\n(tcp)://101[.]99.75.159:465\r\n(tcp)://101[.]99.75.233:465\r\n(tcp)://101[.]99.75.233:8080\r\n(tcp)://101[.]99.92.100:80\r\n(tcp)://101[.]99.92.100:8080\r\n(tcp)://101[.]99.92.101:80\r\n(tcp)://101[.]99.92.102:80\r\n(tcp)://101[.]99.92.102:8080\r\n(tcp)://101[.]99.92.103:80\r\n(tcp)://101[.]99.92.104:80\r\n(tcp)://101[.]99.92.104:8080\r\n(tcp)://101[.]99.92.105:80\r\n(tcp)://101[.]99.92.106:80\r\n(tcp)://101[.]99.92.107:80\r\n(tcp)://101[.]99.92.108:80\r\n(tcp)://101[.]99.92.108:8080\r\n(tcp)://101[.]99.92.110:8080\r\n(tcp)://101[.]99.92.230:8080\r\n(tcp)://101[.]99.92.252:8080\r\n(tcp)://79[.]137.205.201:15666\r\n101[.]99.75.140\r\n101[.]99.75.142\r\n101[.]99.75.145\r\n101[.]99.75.147\r\n101[.]99.75.148\r\n101[.]99.75.156\r\n101[.]99.75.159\r\n101[.]99.75.233\r\n101[.]99.92.100\r\n101[.]99.92.101\r\n101[.]99.92.102\r\n101[.]99.92.103\r\n101[.]99.92.104\r\n101[.]99.92.105\r\n101[.]99.92.106\r\n101[.]99.92.107\r\n101[.]99.92.108\r\n101[.]99.92.110\r\nhttps://cert.gov.ua/article/6276652\r\nPage 2 of 3\n\n101[.]99.92.230\r\n101[.]99.92.252\r\n79[.]137.205.201\r\njournal@ndibk.gov.ua (скомпрометований обліковий запис)\r\nkl@aten.ua (скомпрометований обліковий запис)\r\nms-service@ndibk.gov.ua (скомпрометований обліковий запис)\r\no.slavgorodska@bdf.gov.ua (скомпрометований обліковий запис)\r\npetrochenko@ndibk.gov.ua (скомпрометований обліковий запис)\r\nzakupivli@trnvk.gov.ua (скомпрометований обліковий запис)\r\nХостові:\r\n%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\VideoMagic.url\r\n%LOCALAPPDATA%\\MagicMedia Studios\\A\r\n%LOCALAPPDATA%\\MagicMedia Studios\\VideoMagic.js\r\n%LOCALAPPDATA%\\MagicMedia Studios\\VideoMagic.pif\r\n%LOCALAPPDATA%\\MagicMedia Studios\\VideoMagic.pif %LOCALAPPDATA%\\MagicMedia Studios\\A\r\ncmd /k echo [InternetShortcut] \u003e \"%USERPROFILE%\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\r\nГрафічні зображення\r\nРис.1 Приклад ланцюга ураження\r\nSource: https://cert.gov.ua/article/6276652\r\nhttps://cert.gov.ua/article/6276652\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://cert.gov.ua/article/6276652"
	],
	"report_names": [
		"6276652"
	],
	"threat_actors": [
		{
			"id": "a2e59183-d83f-47aa-adf9-97925d8e6452",
			"created_at": "2023-12-08T02:00:05.762162Z",
			"updated_at": "2026-04-10T02:00:03.496538Z",
			"deleted_at": null,
			"main_name": "UAC-0050",
			"aliases": [],
			"source_name": "MISPGALAXY:UAC-0050",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434392,
	"ts_updated_at": 1775826746,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/5b3078478d2ea8d55ea1df34d98a5d8bb8448822.pdf",
		"text": "https://archive.orkl.eu/5b3078478d2ea8d55ea1df34d98a5d8bb8448822.txt",
		"img": "https://archive.orkl.eu/5b3078478d2ea8d55ea1df34d98a5d8bb8448822.jpg"
	}
}