{
	"id": "9fc31242-22a6-4b3c-89d3-3d2c8ad3cba8",
	"created_at": "2026-04-06T00:19:16.564279Z",
	"updated_at": "2026-04-10T13:12:47.797222Z",
	"deleted_at": null,
	"sha1_hash": "613b9efba9307184aab684af0ce74953a3816923",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 3636594,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 13:04:50 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено файл\r\n\"Доповідь_050722_4.ppt\", що містить зображення-мініатюру, на якій згадєуться оперативне командування\r\n\"Південь\". \r\nУ випадку відкриття документу та активації макросу останній забезпечить створення файлів\r\n\"gksg023ig.lnk\" та \"sgegkseg23mjl.exe\", а також виконання LNK-файлу за допомогою rundll32.exe, що, в\r\nсвою чергу, призведе до запуску згаданого EXE-файлу.\r\nВиконуваний файл є .NET-програмою, обфускованою за допомогою ConfuserEx, що здійснює\r\nзавантаження JPEG-файлу \"thumb_d_F3D14F4982A256B5CDAE9BD579429AE7.jpg\", пошук відповідного\r\nофсету, дешифрування та декомпресію даних і запуск отриманої в результаті .NET-програми\r\nMCMDiction.exe (дата компіляції: 2022-07-08). \r\nНадалі, після ряду перетворень (Gzip, AES, base64, XOR), в тому числі, із застосуваннями стеганографії, на\r\nкомп'ютері буде виконано шкідливу програму-стілер AgentTesla (дата компіляції: 2022-07-06).\r\nЗважаючи на ім'я та контент-приманку PPT-документу, припускаємо, що атаку було спрямовано на\r\nдержавні організації України.\r\nІндикатори компрометації\r\nФайли:\r\n5675473bb46fad83c92865c9c6afbd5e  00fdb03518c238dc649a39e94f0bcc95dacf3b832979d14d0ed5194b9b482b87\r\nc71f41f71e0beea474049af497eae7b7  cffc6a854632d979e3c12d4c29835490229db79909b18010d3dbaabbb89ad2cc\r\n88c2f95bb1e008e2952799a427ab8492  bc92a5b1c4205ea1fbfec9144b8aab485e095142c7105c9d616b089ec668f198\r\n24a95b0c3d0bab9451e49ebd2a95efb4  c40e6b176ad3fd7332cd217191e557352ef4b82bf91f29939121267598737990\r\n050a2254623b88bdd5d171715542bee1  8a9262fecbb58364982f38bdefd44336005632079e254e6f82693050fa29c403\r\n3249773213e0a41ed4d49174ad651f28  664723f55237e2d14b39938878fd0a3744cc808d4d3e67e22f1bcbd410960557\r\nМережеві:\r\nonyangdol[.]site\r\nftp.artrsllc[.]com\r\nhXXps://onyangdol[.]site/thumb_d_F3D14F4982A256B5CDAE9BD579429AE7.jpg\r\nfXp://ftp.artrsllc[.]com/\r\nХостові:\r\nhttps://cert.gov.ua/article/861292\r\nPage 1 of 2\n\nRunDLL32.EXE shell32.dll,ShellExec_RunDLL %TMP%\\gksg023ig.lnk\r\n%APPDATA%\\Microsoft\\sgegkseg23mjl.exe\r\n%TMP%\\gksg023ig.lnk\r\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/861292\r\nhttps://cert.gov.ua/article/861292\r\nPage 2 of 2",
	"extraction_quality": 1,
	"language": "DE",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://cert.gov.ua/article/861292"
	],
	"report_names": [
		"861292"
	],
	"threat_actors": [],
	"ts_created_at": 1775434756,
	"ts_updated_at": 1775826767,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/613b9efba9307184aab684af0ce74953a3816923.pdf",
		"text": "https://archive.orkl.eu/613b9efba9307184aab684af0ce74953a3816923.txt",
		"img": "https://archive.orkl.eu/613b9efba9307184aab684af0ce74953a3816923.jpg"
	}
}