{ "id": "95671662-fa66-4d73-a688-cd4d9aa367ff", "created_at": "2026-04-06T00:06:24.628365Z", "updated_at": "2026-04-10T03:37:50.538166Z", "deleted_at": null, "sha1_hash": "61d0091fa1838e45f4c64a1b7fcb737040957af4", "title": "CERT-UA", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 5605683, "plain_text": "CERT-UA\r\nArchived: 2026-04-05 14:00:30 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA, керуючись пп.1 п.2 ст.8 Закону\r\nУкраїни \"Про основні засади забезпечення кібербезпеки України\", вжито заходів з виявлення та реагування на\r\nкібератаку в інформаційно-комунікаційній системі одного з державних органів України. \r\nЗ'ясовано, що 18.04.2023 та 20.04.2023 на електронну адресу відомства начебто з офіційної поштової скриньки\r\nПосольства Таджикистану в Україні (вірогідно, в результаті компрометації останньої) надіслано електронні листи,\r\nперший з яких містив додаток у вигляді документу з макросом, а другий - посилання на той самий документ.\r\nУ випадку завантаження документу та активації макросу на ЕОМ буде створено та відкрито DOCX-файл\r\n\"SvcRestartTaskLogon\", який також містить макрос, що забезпечить створення ще одного файлу з макросом\r\n\"WsSwapAssessmentTask\". Призначенням останнього є створення файлу \"SoftwareProtectionPlatform\", що\r\nкласифіковано як HATVIBE, а також запланованого завдання для його запуску. HATVIBE представлено у вигляді\r\nкодованого VBScript-файлу (VBE), який функціонально забезпечує можливість завантаження та запуску інших\r\nфайлів.\r\nВ процесі комп'ютерно-технічого дослідження визначено, що 25.04.2023 за невстановлених обставин (вірогідно, за\r\nдопомогою HATVIBE) на ЕОМ створено додаткові програми: кейлогер LOGPIE (забезпечує збереження у файл\r\nзначень натискань на клавіатуру та вмісту буферу обміну) та бекдор CHERRYSPY (забезпечує виконання Python-коду, отриманого з серверу управління). Згадані файли розроблено з використанням мови програмування Python та\r\nзахищено за допомогою утиліти PyArmor. При цьому модуль \"pytransform\", в якому реалізовано механізми\r\nшифрування та обфускації коду, додатково захищено за допомогою Themida. Слід додати, що для пошуку та\r\nексфільтрації файлів, в тому числі результатів роботи кейлогеру LOGPIE (розширення файлу: \".~tmp\"),\r\nвикористовується шкідлива програма STILLARCH (приклад розширень файлів:\r\n\".doc\",\".docx\",\".rtf\",\".xlsx\",\".xls\",\".pdf\",\".ppt\",\".pptx\",\".~tm\",\".bmp\",\".rar\",\".jpg\",\".odt\",\".p12\",\".heic\",\".enc\",\".jpeg\",\".tiff\",\".tif\",\".zip\",\".crf\",\".enc\",\".cr\",\r\nДодаткове вивчення інфраструктури та пов'язаних файлів дозволили зробити висновок про те, що серед об'єктів\r\nзаінтересованості групи є організації з Монголії, Казахстану, Киргизстану, Ізраїлю, Індії. \r\nЗауважимо, що згадана активність здійснюється з метою шпигунства та відстежується з 2021 року за\r\nідентифікатором UAC-0063.\r\nЗ метою зменшення поверхні атаки рекомендуємо для облікових записів користувачів обмежити можливіть\r\nвиконання \"mshta.exe\", запуску Windows Script Host (\"wscript.exe\", \"cscript.exe\") та інтерпретатору Python.\r\nІндикатори кіберзагроз\r\nФайли:\r\n36379daf7ee88e10a395958cacf6f7c0 fdc59293e2ed95e72e11d627c733a7e4234f1b428737147c6ee34f02d92a92eb SvcRes\r\n482406314bdb06a44fcdd53f67ddcaf1 1d2cfdafdf0ab4a2f17befb94c3b84ff24b96a18fb4ab8d69f225407f7d38952 WsSwap\r\n10cab7f70c3b094f2d47e425e42a6013 9e2dfe15eae41295f59b1d4775f37aa0c5bb5e43883903ff07b803865b1ae33e Softwa\r\n5f2d5eb1c13bf0aeaddc1986f44a2444 c517b4e59f1998fdd05dd00b08dfbbdb98f961a6466aa84b7fcafec26b2bbfe2 slmgr\r\ne9076cc28cfeb8912c844b2fddad0066 ab4f206a4b383dba4e6c659404561a50c31d4b771ec23e57b242cadbb7df88ae WinTim\r\nccc4c2174641daab7a623535869df715 afbf4a1ada282a9bf85d8f390df304e4506646627ee4837710291b526eb31840 pytran\r\n774606fd7c7fe7e2bdfe4fc190c7472f 5429935c3446dd1eda1930af9d249e5b0a1e6193c67e000ab072ffeb9db23f66 help.p\r\n5ffd5424cda3878ea3974ec91a0b6920 e0a59595fbfe3f9465c265888ee6a42039d0fea3838b467b2f9c4d4a7c0f0401 pytran\r\n89f15568bc19cc38caa8fd7efca977af d2005b2b3a6bfe22477fb9ad965c0473fc525602333f939eb5db17878e31d078 Diagsv\r\nc273cdfcfd808efa49ec0ed4f1c976e0 d2a0e6e5bdd66332fca965dad6126c1d6ef956e3782c431f1f41e99f45926331 diagsv\r\n70e4305af8b00d04d95fba1f9ade222d 75395359af2d61b2434d68fbee12ebc9947c4d113ca8363dd060caab76077474 Diagsv\r\n14a8aad94b915831fc1d3a8e7e00a5df 70d8e503fd199de816815b88e82fe70802955437cdc3785cbd0d34e0343ce5f1 driver\r\n(Історичні дані)\r\nea7b4922e6f6a121ba4dbdf5d883f22c 6db96476ce30ebc6218aac12d9c9f814254ac9d10b4bbbc53cdc1df666f4b7a7 ВСЕМ\r\n8c5ba061fec025fd37f1d9ca9029f9ba d42dfb13b49125aa0ba80482319a1654cafa8a9ee6d63c09c82b3a3ec7fdaee2 ВСЕМ\r\nbac64cabd0f50f34be91e91d41031482 c66cba6b9e4ad7b0178123f379f021622ffda9c9d70fed9a3d00fe041fe501b1 2022-0\r\n6c61cda823e4174113a0f08a3ba7a689 7fe6db9438e5dadfd2b333f77fab14c956d57ddfded2aa58c3b13cad94b16bfa Тайва\r\nХостові:\r\nhttps://cert.gov.ua/article/4697016\r\nPage 1 of 3\n\n%PROGRAMDATA%\\scripts\\SoftwareProtectionPlatform\r\n%PROGRAMDATA%\\scripts\\WsSwapAssessmentTask\r\n%PROGRAMDATA%\\scripts\\SvcRestartTaskLogon\r\n%PROGRAMDATA%\\Drivers\\slmgr.vbe\r\n%WINDIR%\\System32\\Tasks\\drivers\\slmgr\r\n%WINDIR%\\System32\\Tasks\\Management\\WManSvc\r\n%WINDIR%\\System32\\Tasks\\Application\\SynchronizeTime\r\n%WINDIR%\\System32\\Tasks\\SoftwareProtectionPlatform\r\n%WINDIR%\\System32\\mshta.exe %PROGRAMDATA%\\scripts\\SoftwareProtectionPlatform\r\n%PROGRAMDATA%\\Temp\\load\r\n%PROGRAMDATA%\\Python\\Tools\\scripts\\\r\n%PROGRAMDATA%\\Python\\pythonw.exe %PROGRAMDATA%\\Python\\Tools\\scripts\\help.py 10 20\r\n%PROGRAMDATA%\\Python\\pythonw.exe %LOCALAPPDATA%\\Diagnostics\\%SID%\\1dbe1327-516b-f17a-3977-5v54adb8642b\\WinTime\r\n%PROGRAMDATA%\\Python\\Tools\\scripts\\help.py\r\n%PROGRAMDATA%\\Python\\Tools\\scripts\\pytransform.pyd\r\n%LOCALAPPDATA%\\Diagnostics\\%SID%\\1dbe1327-516b-f17a-3977-5v54adb8642b\\WinTime.py\r\n%LOCALAPPDATA%\\Diagnostics\\%SID%\\1dbe1327-516b-f17a-3977-5v54adb8642b\\pytransform.pyd\r\n%LOCALAPPDATA%\\Diagnostics\\%SID%\\1cbe6654-466b-4d53-8303-2e86ab6db8a7\\\r\nМережеві:\r\nhxxp://206.166.251[.]216/connect.php\r\nhxxp://84.32.188[.]123/hftqlbgtg.php\r\nhxxps://diagnostic-resolver[.]com/\r\nhxxps://ms-webdav-miniredir[.]com/getdata.php\r\nhxxps://ms-webdav-miniredir[.]com/takeanwser.php\r\nhxxps://ms-webdav-miniredir[.]com/connection.php\r\n206.166.251[.]216 (@blnwx[.]com; NL)\r\n185.203.117[.]6 (@vpsag[.]com; BG)\r\n79.124.60[.]180 (@4vendeta[.]com; BG)\r\n84.32.188[.]123 (@cherryservers[.]com; NL)\r\n172.104.62[.]59 (@linode[.]com; SG)\r\ndiagnostic-resolver[.]com (@namecheap[.]com; 2023-01-13)\r\nnet-certificate[.]services (@namecheap[.]com; 2022-01-28)\r\nms-webdav-miniredir[.]com (@namecheap[.]com; 2023-03-09)\r\nГрафічні зображення\r\nРис.1 Приклад ланцюга первинного ураження\r\nhttps://cert.gov.ua/article/4697016\r\nPage 2 of 3\n\nРис.2 Приклад вихідного коду LOGPIE та CHERRYSPY\r\nПосилання\r\n[1] https://www.bitdefender.com/blog/businessinsights/deep-dive-into-downex-espionage-operation-in-central-asia/\r\nSource: https://cert.gov.ua/article/4697016\r\nhttps://cert.gov.ua/article/4697016\r\nPage 3 of 3", "extraction_quality": 1, "language": "EN", "sources": [ "MISPGALAXY", "Malpedia" ], "references": [ "https://cert.gov.ua/article/4697016" ], "report_names": [ "4697016" ], "threat_actors": [ { "id": "d0d996a0-98e2-49fd-b55e-97ba053c4ed0", "created_at": "2024-07-25T02:00:04.423466Z", "updated_at": "2026-04-10T02:00:03.679863Z", "deleted_at": null, "main_name": "UAC-0063", "aliases": [], "source_name": "MISPGALAXY:UAC-0063", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "d2516b8e-e74f-490d-8a15-43ad6763c7ab", "created_at": "2022-10-25T16:07:24.212584Z", "updated_at": "2026-04-10T02:00:04.900038Z", "deleted_at": null, "main_name": "Sofacy", "aliases": [ "APT 28", "ATK 5", "Blue Athena", "BlueDelta", "FROZENLAKE", "Fancy Bear", "Fighting Ursa", "Forest Blizzard", "G0007", "Grey-Cloud", "Grizzly Steppe", "Group 74", "GruesomeLarch", "ITG05", "Iron Twilight", "Operation DealersChoice", "Operation Dear Joohn", "Operation Komplex", "Operation Pawn Storm", "Operation RoundPress", "Operation Russian Doll", "Operation Steal-It", "Pawn Storm", "SIG40", "Sednit", "Snakemackerel", "Sofacy", "Strontium", "T-APT-12", "TA422", "TAG-0700", "TAG-110", "TG-4127", "Tsar Team", "UAC-0028", "UAC-0063" ], "source_name": "ETDA:Sofacy", "tools": [ "ADVSTORESHELL", "AZZY", "Backdoor.SofacyX", "CHERRYSPY", "CORESHELL", "Carberp", "Computrace", "DealersChoice", "Delphacy", "Downdelph", "Downrage", "Drovorub", "EVILTOSS", "Foozer", "GAMEFISH", "GooseEgg", "Graphite", "HATVIBE", "HIDEDRV", "Headlace", "Impacket", "JHUHUGIT", "JKEYSKW", "Koadic", "Komplex", "LOLBAS", "LOLBins", "Living off the Land", "LoJack", "LoJax", "MASEPIE", "Mimikatz", "NETUI", "Nimcy", "OCEANMAP", "OLDBAIT", "PocoDown", "PocoDownloader", "Popr-d30", "ProcDump", "PythocyDbg", "SMBExec", "SOURFACE", "SPLM", "STEELHOOK", "Sasfis", "Sedkit", "Sednit", "Sedreco", "Seduploader", "Shunnael", "SkinnyBoy", "Sofacy", "SofacyCarberp", "SpiderLabs Responder", "Trojan.Shunnael", "Trojan.Sofacy", "USB Stealer", "USBStealer", "VPNFilter", "Win32/USBStealer", "WinIDS", "Winexe", "X-Agent", "X-Tunnel", "XAPS", "XTunnel", "Xagent", "Zebrocy", "Zekapab", "carberplike", "certutil", "certutil.exe", "fysbis", "webhp" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775433984, "ts_updated_at": 1775792270, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/61d0091fa1838e45f4c64a1b7fcb737040957af4.pdf", "text": "https://archive.orkl.eu/61d0091fa1838e45f4c64a1b7fcb737040957af4.txt", "img": "https://archive.orkl.eu/61d0091fa1838e45f4c64a1b7fcb737040957af4.jpg" } }