{ "id": "53471a01-511c-49ca-b37f-910b8092d7b6", "created_at": "2026-04-06T00:16:29.540091Z", "updated_at": "2026-04-10T13:11:22.134453Z", "deleted_at": null, "sha1_hash": "745a3e0336824daabacf68e5b3215dbf0c2d87ad", "title": "CERT-UA", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 2638821, "plain_text": "CERT-UA\r\nArchived: 2026-04-05 14:49:11 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA у безпосередній\r\nвзаємодії з Центром кібербезпеки ЗСУ (ЦКБ) виявлено та досліджено активність угрупування UAC-0020\r\n(Vermin), спрямовану у відношенні Сил оборони України.\r\nНагадаємо, що діяльність угрупування Vermin скеровується співробітниками силових відомств тимчасово\r\nокупованого Луганська та в останнє була помічена у березні 2022 року.\r\nЦього разу у якості засобів реалізації кіберзагрози використано відомий з 2019 року інструментарій -\r\nшкідливе програмне забезпечення SPECTR. При цьому, для вивантаження з комп'ютера викрадних\r\nдокументів, файлів, паролів та іншої інформації використано штатний функціонал синхронізації\r\nлегітимного програмного забезпечення SyncThing, яке, серед іншого, підтримує встановлення peer-to-peer\r\nз'єднання між комп'ютерами.\r\nДля проведення кібератаки жертві надіслано електронний лист із вкладенням у вигляді архіву\r\n\"туррель.фоп.вовчок.rar\", захищеного паролем. В зазначеному архіві знаходиться RARSFX-архів\r\n\"туррель.фоп.вовчок.sfx.rar.scr\", що містить файл-приманку \"Wowchok.pdf\", ЕХЕ-інсталятор \"sync.exe\",\r\nстворений за допомогою InnoSetup та BAT-файл \"run_user.bat\", призначений для первинного запуску. \r\nВ свою чергу файл \"sync.exe\" містить як легітимні компоненти програми SyncThing, так і файли\r\nшкідливих програм SPECTR, в тому числі допоміжні бібліотеки та скрипти. При цьому, штатні файли\r\nпрограмного забезпечення SyncThing частково модифіковано з метою зміни назв каталогів, запланованих\r\nзадач, відключення функціоналу відображення повідомлень користувачеві тощо.\r\nКоротка інформація щодо модулів SPECTR наведена нижче.\r\nSpecMon - викликає PluginLoader.dll, який, у свою чергу, забезпечить виконання всіх DLL-файлів,\r\nякі містять клас \"IPlugin\".\r\nScreengrabber - забезпечує виготовлення знімків екрану кожні 10 секунд за умови, якщо вікно\r\nпрограми містить такі назви: \"word\", \"excel\", \"wps\", \"office\", \"notepad\", \"gram\", \"signal\", \"wickr\",\r\n\"wire\", \"threema\", \"viber\", \"whatsapp\", \"skype\", \"silence\", \"session\", \"adamant\", \"discord\", \"confide\",\r\n\"chrome\", \"mozilla\", \"edge\", \"vpn\", \"tor\", \"bat\", \"mail\", \"почта\", \"пошта\", \"диск\", \"disk\", \"drive\", \"box\",\r\n\"crypt\", \"wallet\", \"coin\", \"money\", \"подключение к\", \"remote\", \"1c:enterprise\", \"1с:предприятие\", \"1с\r\nпредприятие\", \"1с-предприятие\", \"1cv\", \"faststone\", \"foxit\", \"pdf24 reader\", \"anydesk\", \"yandex with\",\r\n\"browser\", \"viewer\".\r\nFileGrabber - за допомогою robocopy.exe з каталогів %USERPROFILE%\\{Desktop, MyPictures,\r\nPersonal, Downloads, OneDrive} та %APPDATA%\\DropBox здійснює копіювання файлів з\r\nрозширеннями: \".one\", \".pdf\", \".doc\", \".docx\", \".docm\", \".xls\", \".xlsx\", \".xlsm\", \".ppt\", \".pptx\", \".odt\",\r\nhttps://cert.gov.ua/article/6279600\r\nPage 1 of 4\n\n\".odm\", \".ods\", \".odp\", \".cdr\", \".jpg\", \".png\", \".bmp\", \".eml\", \".tiff\", \".txt\", \".zip\", \".rar\", \".7z\"; додаткові\r\nаргументи: \"/S /COPY:DT /R:3 /W:5 /XO /MAXAGE:%MAXAGE% /MAX:5242880\".\r\nUsb - за допомогою robocopy.exe зі знімних (USB) носіїв здійснює копіювання файлів з\r\nрозширеннями: \".pdf\", \".doc\", \".docx\", \".docm\", \".xls\", \".xlsx\", \".xlsm\", \".ppt\", \".pptx\", \".odt\", \".odm\",\r\n\".ods\", \".odp\", \".jpg\", \".png\", \".bmp\", \".ogg\", \".wav\", \".mp3\", \".mp4\", \".txt\", \".zip\", \".rar\", \".7z\".\r\nSocial - здійснює викрадення конфігураційних (автентифікаційних) даних месенджерів: Telegram\r\n(tdata), Signal (databases, Session Storage, Local Storage, sql, config.json), Skype (Local Storage),\r\nElement (leveldb).\r\nBrowsers - здійснює викрадення даних (автентифікаційних даних, даних сесій, історії) Інтернет-браузерів браузерів: Firefox, Edge, Chrome (в т.ч., \"Chromium\", \"Google\", \"Google(x86)\", \"Opera\r\nSoftware\", \"Amigo\", \"Orbitum\", \"Yandex\", \"Comodo\", \"Maxthon3\", \"Brave-Browser\").\r\nСлід зауважити, що викрадена інформація копіюється до підпапок в каталозі\r\n%APPDATA%\\sync\\Slave_Sync\\, після чого, з використанням штатного функціоналу синхронізації\r\nлегітимної програми SyncThing, вміст цих каталогів потрапляє на комп'ютер зловмисника, чим і\r\nзабезпечується ексфільтрація даних.\r\nЗ точки зору мережевих індикаторів (на випадок впевненості у не використанні згаданої технології\r\nсанкціоновано), беручи до уваги встановлення peer-to-peer з'єднання, серед іншого, рекомендуємо звертати\r\nувагу на ознаки взаємодії з інфраструктурою SyncThing: *.syncthing.net.\r\nАктивність відстежується за ідентифікатором UAC-0020. \r\nУраховуючи не дуже вдале повернення угрупування Vermin після тривалої відсутності в публічному\r\nпросторі та з метою спрощення сприйняття інформації, виявленій кампанії надано назву \"SickSync\".\r\nОсіб, відповідальних за кіберзахист ІКС ЗСУ, з метою мінімізації вірогідності реалізації кіберзагроз\r\nзакликаємо невідкладно звернутися до Центру кібербезпеки ЗСУ (email: csoc@post.mil.gov.ua, Signal:\r\n+380673321891) з метою отримання та подальшого встановлення на всі без виключення ЕОМ відповідних\r\nтехнологій захисту. Крім того, просимо впевнитись у наявності налаштувань на граничних мережевих\r\nпристроях для передачі по протоколу Syslog журналів мережевих з'єднань.\r\nІндикатори кіберзагроз\r\nФайли:\r\n30a590611403c94c41289ab68b56ca48 b452b0043533625da67e687c6050e9475d1a83337fa2b64735fc9a248179df10\r\nb51d8875e2502704416209c9eb46edf0 db1e53f9b03363d595c9daf1eaafd1d851b5d984af9e4062204f18746b012d37\r\n5aaa6594f0249df48190568edfcc01ef 456732417161a749541bbc4016c9334a01ff3b209c29bc3995f3589dccb80f31\r\n251d8e41f89e5807140b786c89723d4c b4d4e2602cd6c5286be56b71a8659dff380eafd4bf65b61268b5d29a2bd6c52b\r\n63892a6d1eccbaf0edd7cd55654e0150 bf895dca1ea67bf39a6bd87168af8d4fdfd6321d2f2d071295dbd4d25508eb68\r\n49c40fb4f001a9b267b799f6d0b18500 48adf2450c4ae087c1c4982a2a789d8f1b1e88b8d959fb26db273a76ef8b1888\r\nb283b1d1e746ccc6112ef85a6d2d73ef 8cccf28333d822da6b5d851ae4cb188fed6dd27a3046627c7a32850c9d959124\r\nf357833157928395b65e9d17b26dee0e 4d3c48917973daaf7e31aeab167e4611c60feed29bae25303c0543824bef027c\r\nf3a89edd5efe3a9269b4697ff3b386be 29d9cc9a79750c6c1a3052317fb172b9d76a7044b94cd1da3be00ace748a9878\r\nf6e436ad88fdf391b960ff28df25e80b 1cc0257d93b4d1c0b3bb5c923c2997f222d271591addbd2da0da019dbb5fe579\r\nhttps://cert.gov.ua/article/6279600\r\nPage 2 of 4\n\nbd335dad7c46ec91d2816b5a0ca6d29a 67571ad65881dd4feb309c22f8e508da40bbf4f573fd97c45265394ac5b06659\r\na1199e11d307e2c649c4b2487297896d 9b3994f395309b0fb4db23e66d8de822b47cd9d4c9544bc48ed0e0fa082251b0\r\n2d1814ea39c8b33db1394dd2bf8e4a2a 711100e90de58762aa121a5f4a5fc50f1efc05499f1ee63b6bc1e3d479eb4c69\r\n74874b31fcddef67d98cac666d86d375 0a43d77c67c0ff31660a19e69cdb26e55b5322cf63b51a97d4de0c4b48f78841\r\n64b378abcd1bb4f2d064dbbe72570d3e 87f73bc1762913e46d4dad6464f92d0d3e3c785da4cc30a24460601a3ceed970\r\n45a58147de34d9d3029b62ac48636f26 806db134f3b9db4a58dd8ff65498d2841f645ef7252857e57c46cd6680edcec7\r\n8f3125d49dd0e38e2fd7a1351281005e 4c4db56997d9a44cfc5a03f3b401f96d6890a56cd32146c5605f159a97112df9\r\nd70e7aa26e5b90b971aaa5e16017249c 5ef47edc207e404c57ac83e2b55fb0b7c1687d721f26fc7a5a6e5294b28a2f6f\r\nbb38d0bf2246ed55b46dd61dcf5693a6 bef8cf172fd4535738e3aa06a9c303f93c83a4da0053aba4cbea986729d4620b\r\n8761d7bce160c25d9b2f1d0a72ad89a4 9221c2f936159b8446d329249fb4c0f25be510f447383a0f13336ac7985668a3\r\n471bdb3bb2807636f56fb238e6a2e047 892a45e8adc92eb281a8f4cdba824cd69134bcb8378977747998b87c5a7fdec8\r\n(SPECTR DLLs)\r\n076586ea295ad521e7dc793a5a2c38b7 2b6622cc433aff6cb4bc582c7bc3bffc09e0fc6f0e1a97bab17485058bdcf3c9\r\n2666479686a91389afc44a02ee70038e 0ad1cf00eed24ab07765d3670d1c8394b3d232f58bf939b69ada9e88c45b4b03\r\n52df00ffcb487f4967c480bc425376ba 7198094549e30b8bff6865ce364e48dc324d92f2346dec9b0ce6664921c21888\r\n09570ab8f371adf8893c7e0da786cd2e c208408170c429af873849cecc4b7553598ba5a70fce7616e6adca66cfeb8d75\r\n39534c1234b3dbfe37b774b967cfb4ee f8b696ae1011f6c5457eea1e215da81e85aef1b1a62c56dce3606e0512afdbb4\r\ncd4bc0795ce5d04efc0a7644d8ff6159 00b3599f4bb48e2599f953191d526da432c280d5ae5bc43392eb37352fde5cb2\r\ndebf2157d6192ac4d5be67104f7ba312 117078cd63225cfed7cbe4bc4c2ffed6db4d4bd93bf353a87cc10fb05cc0151c\r\ne508a05a71d29688b7916429894c09d5 b05c65897fc449760fa5867e436205313448007e904e02aa77c0733a21d15bb2\r\n83811960db65d0d430062ad1ff92b7ca c3ac906b3228c4c9ce3dd0e46b6c5b0bed4dacd61911dc006730a31f90f424c7\r\nebe83a11b39bfd848fa557a79f2dff1b fbd8883e659d8082fe8e1ee15de12e2b710fd4c92d8d72b2cf34befcdc5be7fb\r\naeda6f2d3669fb0d30b3e21437405d81 6a13b98c7dc82ea2a492c0022fd93fa97247912dfa8ad5f015fb4b50e6c05fbb\r\na816830220abe0cc2e3877eeadae0580 bf62d5e034b4ce4fd122ab72fa388ea461fd6e5f317ad3274fe847a526c00282\r\nМережеві:\r\n(Інфраструктура SyncThing)\r\nhXXps://crash.syncthing[.]net/newcrash\r\nhXXps://data.syncthing[.]net/newdata\r\nhXXps://upgrades.syncthing[.]net/meta.json\r\ncrash.syncthing[.]net\r\ndata.syncthing[.]net\r\nupgrades.syncthing[.]net\r\nsyncthing[.]net\r\nsyncthing.net\r\nХостові:\r\n%APPDATA%\\Microsoft Configurator\\\r\n%APPDATA%\\sync\\Slave_Sync\\\r\n%APPDATA%\\sync\\Slave_Sync\\.fs\\\r\n%APPDATA%\\sync\\Slave_Sync\\.scrn\\\r\n%APPDATA%\\sync\\Slave_Sync\\.usb\\\r\nhttps://cert.gov.ua/article/6279600\r\nPage 3 of 4\n\n%LOCALAPPDATA%\\Programs\\MSConfigurator\\\r\n%LOCALAPPDATA%\\Programs\\MSConfigurator\\scrn\\\r\n%LOCALAPPDATA%\\Programs\\MSConfigurator\\scrn\\SpecMon_x64.dll\r\n%LOCALAPPDATA%\\Programs\\MSConfigurator\\scrn\\SpecMon_x86.dll\r\n%LOCALAPPDATA%\\Programs\\MSConfigurator\\scrn\\install.ps1\r\n%LOCALAPPDATA%\\Programs\\MSConfigurator\\syncthing.exe\r\n%LOCALAPPDATA%\\Syncthing\\config.xml\r\nC:\\Projects\\MediaDevices\\Src\\MediaDevicesFramework45\\obj\\Release\\MediaDevices.pdb\r\nW:\\Projects\\DEV\\SpecMon\\Browsers\\obj\\Release\\Browsers.pdb\r\nW:\\Projects\\DEV\\SpecMon\\Commander\\obj\\Release\\Commander.pdb\r\nW:\\Projects\\DEV\\SpecMon\\Common\\obj\\Release\\Common.pdb\r\nW:\\Projects\\DEV\\SpecMon\\FileGrabber\\obj\\Release\\FileGrabber.pdb\r\nW:\\Projects\\DEV\\SpecMon\\Messengers\\obj\\Release\\Social.pdb\r\nW:\\Projects\\DEV\\SpecMon\\PluginLoader\\obj\\Release\\PluginLoader.pdb\r\nW:\\Projects\\DEV\\SpecMon\\Screengrabber\\obj\\Debug\\Screengrabber.pdb\r\nW:\\Projects\\DEV\\SpecMon\\Usb\\obj\\Release\\Usb.pdb\r\ncscript.exe \"%userprofile%\\Appdata\\Local\\Programs\\MSConfigurator\\StartSyncthing.js\" /silent\r\ndistr\\sync.exe /verysilent /currentuser /noicons /SP- /SUPPRESSMSGBOXES /NOCANCEL\r\nGoogleChromeUpdateDailyTask (Scheduled Task)\r\nMicrosoftEdgeUpdateTaskMachineReg (Scheduled Task)\r\nГрафічні зображення\r\nРис.1 Приклад електронного листа та вмісту шкідливого інсталятора\r\nSource: https://cert.gov.ua/article/6279600\r\nhttps://cert.gov.ua/article/6279600\r\nPage 4 of 4", "extraction_quality": 1, "language": "EN", "sources": [ "Malpedia", "MISPGALAXY" ], "origins": [ "web" ], "references": [ "https://cert.gov.ua/article/6279600" ], "report_names": [ "6279600" ], "threat_actors": [ { "id": "42a6a29d-6b98-4fd6-a742-a45a0306c7b0", "created_at": "2022-10-25T15:50:23.710403Z", "updated_at": "2026-04-10T02:00:05.281246Z", "deleted_at": null, "main_name": "Silence", "aliases": [ "Whisper Spider" ], "source_name": "MITRE:Silence", "tools": [ "Winexe", "SDelete" ], "source_id": "MITRE", "reports": null }, { "id": "9f101d9c-05ea-48b9-b6f1-168cd6d06d12", "created_at": "2023-01-06T13:46:39.396409Z", "updated_at": "2026-04-10T02:00:03.312816Z", "deleted_at": null, "main_name": "Earth Lusca", "aliases": [ "CHROMIUM", "ControlX", "TAG-22", "BRONZE UNIVERSITY", "AQUATIC PANDA", "RedHotel", "Charcoal Typhoon", "Red Scylla", "Red Dev 10", "BountyGlad" ], "source_name": "MISPGALAXY:Earth Lusca", "tools": [ "RouterGod", "SprySOCKS", "ShadowPad", "POISONPLUG", "Barlaiy", "Spyder", "FunnySwitch" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "31da1b1f-743b-40ef-bd17-1e07c5500392", "created_at": "2024-06-19T02:00:04.382822Z", "updated_at": "2026-04-10T02:00:03.655982Z", "deleted_at": null, "main_name": "UAC-0020", "aliases": [ "SickSync", "Vermin" ], "source_name": "MISPGALAXY:UAC-0020", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "eb5915d6-49a0-464d-9e4e-e1e2d3d31bc7", "created_at": "2025-03-29T02:05:20.764715Z", "updated_at": "2026-04-10T02:00:03.851829Z", "deleted_at": null, "main_name": "GOLD WYMAN", "aliases": [ "Silence " ], "source_name": "Secureworks:GOLD WYMAN", "tools": [ "Silence" ], "source_id": "Secureworks", "reports": null }, { "id": "18a7b52d-a1cd-43a3-8982-7324e3e676b7", "created_at": "2025-08-07T02:03:24.688416Z", "updated_at": "2026-04-10T02:00:03.734754Z", "deleted_at": null, "main_name": "BRONZE UNIVERSITY", "aliases": [ "Aquatic Panda", "Aquatic Panda ", "CHROMIUM", "CHROMIUM ", "Charcoal Typhoon", "Charcoal Typhoon ", "Earth Lusca", "Earth Lusca ", "FISHMONGER ", "Red Dev 10", "Red Dev 10 ", "Red Scylla", "Red Scylla ", "RedHotel", "RedHotel ", "Tag-22", "Tag-22 " ], "source_name": "Secureworks:BRONZE UNIVERSITY", "tools": [ "Cobalt Strike", "Fishmaster", "FunnySwitch", "Spyder", "njRAT" ], "source_id": "Secureworks", "reports": null }, { "id": "88e53203-891a-46f8-9ced-81d874a271c4", "created_at": "2022-10-25T16:07:24.191982Z", "updated_at": "2026-04-10T02:00:04.895327Z", "deleted_at": null, "main_name": "Silence", "aliases": [ "ATK 86", "Contract Crew", "G0091", "TAG-CR8", "TEMP.TruthTeller", "Whisper Spider" ], "source_name": "ETDA:Silence", "tools": [ "EDA", "EmpireDNSAgent", "Farse", "Ivoke", "Kikothac", "LOLBAS", "LOLBins", "Living off the Land", "Meterpreter", "ProxyBot", "ReconModule", "Silence.Downloader", "TiniMet", "TinyMet", "TrueBot", "xfs-disp.exe" ], "source_id": "ETDA", "reports": null }, { "id": "6abcc917-035c-4e9b-a53f-eaee636749c3", "created_at": "2022-10-25T16:07:23.565337Z", "updated_at": "2026-04-10T02:00:04.668393Z", "deleted_at": null, "main_name": "Earth Lusca", "aliases": [ "Bronze University", "Charcoal Typhoon", "Chromium", "G1006", "Red Dev 10", "Red Scylla" ], "source_name": "ETDA:Earth Lusca", "tools": [ "Agentemis", "AntSword", "BIOPASS", "BIOPASS RAT", "BadPotato", "Behinder", "BleDoor", "Cobalt Strike", "CobaltStrike", "Doraemon", "FRP", "Fast Reverse Proxy", "FunnySwitch", "HUC Port Banner Scanner", "KTLVdoor", "Mimikatz", "NBTscan", "POISONPLUG.SHADOW", "PipeMon", "RbDoor", "RibDoor", "RouterGod", "SAMRID", "ShadowPad Winnti", "SprySOCKS", "WinRAR", "Winnti", "XShellGhost", "cobeacon", "fscan", "lcx", "nbtscan" ], "source_id": "ETDA", "reports": null }, { "id": "d53593c3-2819-4af3-bf16-0c39edc64920", "created_at": "2022-10-27T08:27:13.212301Z", "updated_at": "2026-04-10T02:00:05.272802Z", "deleted_at": null, "main_name": "Earth Lusca", "aliases": [ "Earth Lusca", "TAG-22", "Charcoal Typhoon", "CHROMIUM", "ControlX" ], "source_name": "MITRE:Earth Lusca", "tools": [ "Mimikatz", "PowerSploit", "Tasklist", "certutil", "Cobalt Strike", "Winnti for Linux", "Nltest", "NBTscan", "ShadowPad" ], "source_id": "MITRE", "reports": null } ], "ts_created_at": 1775434589, "ts_updated_at": 1775826682, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/745a3e0336824daabacf68e5b3215dbf0c2d87ad.pdf", "text": "https://archive.orkl.eu/745a3e0336824daabacf68e5b3215dbf0c2d87ad.txt", "img": "https://archive.orkl.eu/745a3e0336824daabacf68e5b3215dbf0c2d87ad.jpg" } }