{
	"id": "aa60ee96-f117-4252-ad13-c3849319b69e",
	"created_at": "2026-04-06T00:19:08.008981Z",
	"updated_at": "2026-04-10T03:37:04.35657Z",
	"deleted_at": null,
	"sha1_hash": "82f1eeff18f7be63c300f3ade58f9ddd429df806",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1599231,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 17:26:08 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA від суб'єкту\r\nкоординації отримано електронний лист з темою \"№1275 від 07.04.2022\", що містить одноіменний HTML-файл, відриття якого призведе до створення на комп'ютері архіву \"1275_07.04.2022.rar\". Останній містить\r\nLNK-файл \"Щодо фактів переслідування та вбивства працівників Прокуратури з боку російських\r\nвійськових на тимчасово окупованих територіях.lnk\", відкриття якого призведе до завантаження і запуску\r\nпейлоаду.\r\nАктивність асоційовано з діяльністю групи UAC-0010 (Armageddon).\r\nЗ метою забезпечення відмовостійкості своєї інфраструктури, члени групи, серед іншого, використовують\r\nDynamic DNS сервіс NO-IP. Звертаємо увагу на доцільність моніторингу з'єднань з доменними іменами,\r\nщо використовуються згаданим сервісом. Перелік безкоштовних доменних імен наведено нижче;\r\nрозгорнутий список доступний за посиланням hxxps://www.noip[.]com/support/faq/free-dynamic-dns-domains/.\r\nІндикатори компрометації\r\nФайли:\r\nb4f22ee176ab9f579cad79c85c18a72a  69366a4e652041c78c2cc267288a4c4bb0d4eece4074adda82eecd11d9dcf08d\r\n1cce0fb426cd2bd3182c544af19e9c61  945d49d58d2d3041aad9445487f01a13d863cf8e76151e9a5008615175f7e52e\r\n16868c4fadd1d4874bcb32c6fa80123b  208fc38faf5a2267d837971b48889e855c0edc164c0b2edefff08d0782ccf1bb\r\ncde5cb3f8bb1d520a52d7e279155fc39  890f25ee7cfb2931536ee3e12fb75ce3f0be21ec03bdfdb38dc688db06e07198\r\nd6fe6243a9b4293db6384f22524ff709  de4040a631b95044e08797837e2143c64ef7c6b981547a9220f8ed7b40701ef9\r\nМережеві:\r\nmilitary-prosecutor@post.cz\r\nhXXp://m-vz.webhop[.]me/prk/faicon.ico\r\nhXXp://a0656203.xsph[.]ru/prescription/seized.xml\r\nhXXp://a0656203.xsph[.]ru/prepared/semi.xml\r\nm-vz.webhop[.]me\r\na0656203.xsph[.]ru\r\na0322810.xsph[.]ru\r\nwebhop[.]me\r\nxsph[.]ru\r\nlnk-upload.dodortar[.]ru\r\ndod-upload.dodortar[.]ru\r\nhttps://cert.gov.ua/article/39386\r\nPage 1 of 3\n\nln-upl.ddns[.]net\r\nd-upl.ddns[.]net\r\nup-dot.myftp[.]org\r\nup-lnk.myftp[.]org\r\nnitikora[.]ru\r\ndodortar[.]ru\r\nkopratiso[.]ru\r\nbillyhot[.]ru\r\nbilitora[.]ru\r\n194[.]58.121.198\r\n194[.]180.174.105\r\n149[.]248.13.58\r\nПерелік безкоштовних доменних імен сервісу NO-IP:\r\nddns[.]net\r\nddnsking[.]com\r\n3utilities[.]com\r\nbounceme[.]net\r\nfreedynamicdns[.]net\r\nfreedynamicdns[.]org\r\ngotdns[.]ch\r\nhopto[.]org\r\nmyddns[.]me\r\nmyftp[.]biz\r\nmyftp[.]org\r\nmyvnc[.]com\r\nonthewifi[.]com\r\nredirectme[.]net\r\nservebeer[.]com\r\nserveblog[.]net\r\nservecounterstrike[.]com\r\nserveftp[.]com\r\nservegame[.]com\r\nservehalflife[.]com\r\nservehttp[.]com\r\nserveirc[.]com\r\nserveminecraft[.]net\r\nservemp3[.]com\r\nservepics[.]com\r\nservequake[.]com\r\nsytes[.]net\r\nviewdns[.]net\r\nwebhop[.]me\r\nzapto[.]org\r\nhttps://cert.gov.ua/article/39386\r\nPage 2 of 3\n\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/39386\r\nhttps://cert.gov.ua/article/39386\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"MISPGALAXY",
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/39386"
	],
	"report_names": [
		"39386"
	],
	"threat_actors": [
		{
			"id": "81bd7107-6b2d-45c9-9eea-1843d4b9b308",
			"created_at": "2022-10-25T15:50:23.320841Z",
			"updated_at": "2026-04-10T02:00:05.356444Z",
			"deleted_at": null,
			"main_name": "Gamaredon Group",
			"aliases": [
				"Gamaredon Group",
				"IRON TILDEN",
				"Primitive Bear",
				"ACTINIUM",
				"Armageddon",
				"Shuckworm",
				"DEV-0157",
				"Aqua Blizzard"
			],
			"source_name": "MITRE:Gamaredon Group",
			"tools": [
				"QuietSieve",
				"Pteranodon",
				"Remcos",
				"PowerPunch"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "d5156b55-5d7d-4fb2-836f-861d2e868147",
			"created_at": "2023-01-06T13:46:38.557326Z",
			"updated_at": "2026-04-10T02:00:03.023048Z",
			"deleted_at": null,
			"main_name": "Gamaredon Group",
			"aliases": [
				"ACTINIUM",
				"DEV-0157",
				"Blue Otso",
				"G0047",
				"IRON TILDEN",
				"PRIMITIVE BEAR",
				"Shuckworm",
				"UAC-0010",
				"BlueAlpha",
				"Trident Ursa",
				"Winterflounder",
				"Aqua Blizzard",
				"Actinium"
			],
			"source_name": "MISPGALAXY:Gamaredon Group",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "61940e18-8f90-4ecc-bc06-416c54bc60f9",
			"created_at": "2022-10-25T16:07:23.659529Z",
			"updated_at": "2026-04-10T02:00:04.703976Z",
			"deleted_at": null,
			"main_name": "Gamaredon Group",
			"aliases": [
				"Actinium",
				"Aqua Blizzard",
				"Armageddon",
				"Blue Otso",
				"BlueAlpha",
				"Callisto",
				"DEV-0157",
				"G0047",
				"Iron Tilden",
				"Operation STEADY#URSA",
				"Primitive Bear",
				"SectorC08",
				"Shuckworm",
				"Trident Ursa",
				"UAC-0010",
				"UNC530",
				"Winterflounder"
			],
			"source_name": "ETDA:Gamaredon Group",
			"tools": [
				"Aversome infector",
				"BoneSpy",
				"DessertDown",
				"DilongTrash",
				"DinoTrain",
				"EvilGnome",
				"FRAUDROP",
				"Gamaredon",
				"GammaDrop",
				"GammaLoad",
				"GammaSteel",
				"Gussdoor",
				"ObfuBerry",
				"ObfuMerry",
				"PlainGnome",
				"PowerPunch",
				"Pteranodon",
				"Pterodo",
				"QuietSieve",
				"Remcos",
				"RemcosRAT",
				"Remote Manipulator System",
				"Remvio",
				"Resetter",
				"RuRAT",
				"SUBTLE-PAWS",
				"Socmer",
				"UltraVNC"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "236a8303-bf12-4787-b6d0-549b44271a19",
			"created_at": "2024-06-04T02:03:07.966137Z",
			"updated_at": "2026-04-10T02:00:03.706923Z",
			"deleted_at": null,
			"main_name": "IRON TILDEN",
			"aliases": [
				"ACTINIUM ",
				"Aqua Blizzard ",
				"Armageddon",
				"Blue Otso ",
				"BlueAlpha ",
				"Dancing Salome ",
				"Gamaredon",
				"Gamaredon Group",
				"Hive0051 ",
				"Primitive Bear ",
				"Shuckworm ",
				"Trident Ursa ",
				"UAC-0010 ",
				"UNC530 ",
				"WinterFlounder "
			],
			"source_name": "Secureworks:IRON TILDEN",
			"tools": [
				"Pterodo"
			],
			"source_id": "Secureworks",
			"reports": null
		}
	],
	"ts_created_at": 1775434748,
	"ts_updated_at": 1775792224,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/82f1eeff18f7be63c300f3ade58f9ddd429df806.pdf",
		"text": "https://archive.orkl.eu/82f1eeff18f7be63c300f3ade58f9ddd429df806.txt",
		"img": "https://archive.orkl.eu/82f1eeff18f7be63c300f3ade58f9ddd429df806.jpg"
	}
}