{
	"id": "135784e2-35d1-4c7c-bb6a-2c6b517ab3b8",
	"created_at": "2026-04-06T00:10:10.187837Z",
	"updated_at": "2026-04-10T13:12:18.992293Z",
	"deleted_at": null,
	"sha1_hash": "6be316a243c75310044d1ea0dbffe5327980c6a0",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2060035,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 13:09:48 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виявлено RAR-архів\r\n\"Про збереження відеоматеріалів з фіксацією злочинних дій армії російської федерації.rar\", який містить\r\nодноіменний EXE-файл. Запуск виконуваного файлу призведе до створення на комп'ютері документу-приманки \"#2163_02_33-2022.pdf\" (стосується листа Національної поліції України), а також DLL-файлу з\r\nвидаленим MZ-заголовком \"officecleaner.dat\" та BAT-файлу \"officecleaner.bat\", що забезпечить формування\r\nкоректного DLL-файлу, його запуск і запис в реєстр Windows для забезпечення персистентності.\r\nЗгаданий DLL-файл класифіковано як шкідливу програму HeaderTip, основним призначенням якої є\r\nзавантаження та виконання інших DLL-файлів.\r\nАктивність відстежується за ідентифікатором UAC-0026. Аналогічні атаки, для прикладу, фіксувалися у\r\nвересні 2020 року.\r\nІндикатори компрометації\r\nФайли:\r\n1af894a5f23713b557c23078809ed01c 839e968aa5a6691929b4d65a539c2261f4ecd1c504a8ba52abbfbac0774d6fa3\r\n13612c99a38b2b07575688c9758b72cc 042271aadf2191749876fc99997d0e6bdd3b89159e7ab8cd11a9f13ae65fa6b1\r\n3293ba0e2eaefbe5a7c3d26d0752326e c0962437a293b1e1c2702b98d935e929456ab841193da8b257bd4ab891bf9f69\r\n9c22548f843221cc35de96d475148ecf 830c6ead1d972f0f41362f89a50f41d869e8c22ea95804003d2811c3a09c3160\r\n4fb630f9c5422271bdd4deb94a1e74f4 a2ffd62a500abbd157e46f4caeb91217738297709362ca2c23b0c2d117c7df38\r\n1aba36f72685c12e60fb0922b606417c 63a218d3fc7c2f7fcadc0f6f907f326cc86eb3f8cf122704597454c34c141cf1\r\nМережеві:\r\nMozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko\r\nhxxps://product2020.mrbasic[.]com:8080\r\nproduct2020.mrbasic[.]com\r\n104[.]155.198.25\r\nХостові: \r\n%TMP%\\#2163_02_33-2022.pdf\r\n%TMP%\\officecleaner.bat\r\n%TMP%\\officecleaner.dat\r\n%TMP%\\officecleaner.dll\r\nhttps://cert.gov.ua/article/38097\r\nPage 1 of 2\n\nHKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\httpsrvlog\r\nHKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\httpshelper\r\nc:\\windows\\system32\\rundll32.exe %TMP%\\httpshelper.dll,OAService\r\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/38097\r\nhttps://cert.gov.ua/article/38097\r\nPage 2 of 2",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://cert.gov.ua/article/38097"
	],
	"report_names": [
		"38097"
	],
	"threat_actors": [
		{
			"id": "e7d03ac8-7d6f-4ea0-83a9-10dff2ea1486",
			"created_at": "2022-10-25T16:07:24.158325Z",
			"updated_at": "2026-04-10T02:00:04.884772Z",
			"deleted_at": null,
			"main_name": "Scarab",
			"aliases": [
				"UAC-0026"
			],
			"source_name": "ETDA:Scarab",
			"tools": [
				"Scieron"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434210,
	"ts_updated_at": 1775826738,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/6be316a243c75310044d1ea0dbffe5327980c6a0.pdf",
		"text": "https://archive.orkl.eu/6be316a243c75310044d1ea0dbffe5327980c6a0.txt",
		"img": "https://archive.orkl.eu/6be316a243c75310044d1ea0dbffe5327980c6a0.jpg"
	}
}