{
	"id": "8bf5d91d-ad87-44d3-a751-3c3e9d77890a",
	"created_at": "2026-04-10T03:21:22.554677Z",
	"updated_at": "2026-04-10T03:22:17.229238Z",
	"deleted_at": null,
	"sha1_hash": "7f1db55ff37121f878bcfa635b0b77afff277f03",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1409917,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-10 03:08:11 UTC\r\nОновлено 18.04.2022\r\nЗагальна інформація:\r\nУрядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виявлено факт\r\nмасового розповсюдження серед громадян України XLS-документів з назвою \"Мобілізаційний реєстр.xls\".\r\nЗ'ясовано, що у разі відкриття документу та активації макросу, останній забезпечить завантаження і запуск\r\nвиконуваного файлу. Завантажений EXE-файл забезпечить дешифрування та запуск на комп'ютері\r\nшкідливої програми GzipLoader, яка, в свою чергу, здійснить завантаження, дешифрування та запуск\r\nшкідливої програми IcedID. Згадана шкідлива програма (також відома як BankBot) відноситься до класу\r\n\"банківських троянських програм\", та, серед іншого, забезпечує викрадення автентифікаційних даних.\r\nАктивність має цільовий характер та відстежується за ідентифікатором UAC-0098.\r\nІндикатори компрометації:\r\nФайли:\r\nbdfca142fc1408ab2028019775a95a8a 8f7e3471c1bb2b264d1b8f298e7b7648dac84ffd8fb2125f3b2566353128e\r\n9f33887a8e76c246753e71b896a904b3 65b208943d8cf82af902c39400bdd7a26fdbc94c23f9d4494cf0a2ca51233\r\n5b4deca6a14eb777fdd882a712006303 de7bcc556dde40d347b003d891f36c2a733131593ce2b9382f0bd9ade123d\r\nc52150ad226963a07cfc144d9cea73c7 ac1d19c5942946f9eee6bc748dee032b97eb3ec3e4bb64fead3e5ac101fb1\r\nafc2d797a39caf4765c0c24e1afb1967 2e721087daafbfe9b7d5618dfcdaf23e04344f4f72b2c59e175196bada1cc\r\ne731e2f1a70b2dd13a4995f9c0106dc4 789992e24d118d7bd213593aa849449c624eb275e000bc406dab25035b994\r\n986ce06308ca327e5c75877e5e15d6b8 89594dbae3956eb2bf599e85cd761e89c9d189944b0ddc18cc3973f0fd41c\r\ne9ad8fae2dd8f9d12e709af20d9aefad 84f016ece77ddd7d611ffc0cbb2ce24184aeee3a2fdbb9d44d0837bc533ba\r\n7e6a117ba018be2867329bc5a33e481d 6734ae02e66924b3f071e7d8ea97d2482a2a2a5bac27b251f20d320b0d04a\r\nМережеві:\r\nrivertimad[.]com\r\nwinuvinnosluk[.]club\r\nsuccessilin[.]top\r\nreteredelete[.]top\r\nnaffalno[.]site\r\nritionalvalueon[.]top\r\noceriesfornot[.]top\r\narelyevennot[.]top\r\ndogiraftig[.]com\r\nfikasterwer[.]top\r\nhttps://cert.gov.ua/article/39609\r\nPage 1 of 2\n\njevejosader[.]top\r\nertimadifa[.]com\r\nrresteraftin[.]com\r\nndlestomak[.]top\r\n168[.]100.8.42\r\n188[.]166.154.118\r\n134[.]209.144.87\r\nhXXp://168[.]100.8.42/micro[.]exe\r\nhXXp://168[.]100.8.42/spisok[.]exe\r\nhXXp://rivertimad[.]com/\r\nhXXp://168[.]100.8.42/list[.]exe\r\nХостові:\r\n%APPDATA%\\%rand%\\%rand%.dll\",DllMain --iydu=\"SustainDream\\license.dat\"\r\n%APPDATA%\\SustainDream\\license.dat\r\n%APPDATA%\\runsx.exe\r\n%TMP%\\forest32.dat\r\nГрафічні зображення:\r\nSource: https://cert.gov.ua/article/39609\r\nhttps://cert.gov.ua/article/39609\r\nPage 2 of 2",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/39609"
	],
	"report_names": [
		"39609"
	],
	"threat_actors": [],
	"ts_created_at": 1775791282,
	"ts_updated_at": 1775791337,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/7f1db55ff37121f878bcfa635b0b77afff277f03.pdf",
		"text": "https://archive.orkl.eu/7f1db55ff37121f878bcfa635b0b77afff277f03.txt",
		"img": "https://archive.orkl.eu/7f1db55ff37121f878bcfa635b0b77afff277f03.jpg"
	}
}