{ "id": "47b4dc2c-6263-45ea-88ab-0218f071cf2e", "created_at": "2026-04-06T00:19:06.772105Z", "updated_at": "2026-04-10T03:37:00.377037Z", "deleted_at": null, "sha1_hash": "8dbd92642624bd0334548e3fdadb4f9f127756c4", "title": "CERT-UA", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 6114053, "plain_text": "CERT-UA\r\nArchived: 2026-04-05 12:55:13 UTC\r\nЗагальна інформація\r\nУ березні-квітні 2024 року під час проведення заходів з реагування на кіберінцидент в інформаційно-комунікаційній системі (ІКС) центрального органу виконавчої влади, національною командою реагування\r\nна кіберінциденти, кібератаки, кіберзагрози CERT-UA ідентифіковано технічний засіб під управлінням\r\nопераційної системи Windows, що виконував роль серверу, на якому, серед іншого, було виявлено два\r\nпрограмні засоби реалізації кіберзагрози, а саме: BEARDSHELL та SLIMAGENT.\r\nBEARDSHELL\r\nПрограма, розроблена з використанням мови програмування C++. Забезпечує завантаження,\r\nдешифрування (chacha20-poly1305) та виконання PowerShell-сценаріїв, а також вивантаження\r\nотриманого результату. Управління бекдором здійснюється через API сервісу Icedrive. Для кожної\r\nураженої ЕОМ формується каталог, назва якого – це хеш hash64_fnv1a від назви ЕОМ та GUID профілю\r\nапаратного забезпечення ЕОМ (GetCurrentHwProfileW).\r\nSLIMAGENT\r\nПрограма, розроблена з використанням мови програмування C++. Основне функціональне призначення -\r\nвиготовлення знімків екрану (EnumDisplayMonitors -\u003e CreateCompatibleDC/CreateCompatibleBitmap/BitBlt -\r\n\u003e GdipSaveImageToStream), їх шифрування (AES+RSA) та збереження локально на ЕОМ у форматі:\r\n%TEMP%\\Desktop_%d-%m-%Y_%H-%M-%S.svc.\r\nНа момент дослідження обставини первинної компрометації серверу, зокрема, спосіб доставки програм,\r\nвстановлено не було. Інформацію щодо виявлених файлів передано для дослідження довіреному колу\r\nвиробників засобів захисту та дослідників кіберзагроз.\r\nВодночас, у травні 2025 року від компанії ESET отримано оперативну інформацію щодо виявлення ознак\r\nнесанкціонованого доступу до електронної поштової скриньки в доменній зоні gov.ua.\r\nЗ метою запобігання реалізації кіберзагрози, CERT-UA у взаємодії з Центром кібернетичної безпеки\r\nінформаційно-телекомунікаційних систем військової частини А0334 вжито заходів з реагування на\r\nкіберінцидент.\r\nВ результаті проведення комп'ютерно-технічного дослідження виявлено програмні засоби - компонент\r\nфреймоворку COVENANT та бекдор BEARDSHELL, а також з'ясовано спосіб первинного ураження. На\r\nцей раз невстановленою особою за допомогою Signal надіслано документ з назвою \"Акт.doc\", що містив\r\nмакрос. При цьому, що очевидно з переписки, зловмисник мав достатньо інформації щодо об'єкту атаки та\r\nволодів деталями стану справ в частині, що стосується.\r\nhttps://cert.gov.ua/article/6284080\r\nPage 1 of 4\n\nУ випадку активації вмісту документу код макросу забезпечить створення на ЕОМ двох файлів:\r\n%APPDATA%\\microsoft\\protect\\ctec.dll (буде скопійовано з %TEMP%\\cache_d3qf5gw56jikh5tb6) та\r\n%LOCALAPPDATA%\\windows.png, а також, створення ключа в реєстрі операційної системи:\r\n\"HKCU\\Software\\Classes\\CLSID\\{2227A280-3AEA-1069-A2DE-08002B30309D}\\InProcServer32\" (COM-hijacking), що, у свою чергу, забезпечить завантаження створеної DLL при наступному запуску процесу\r\nexplorer.exe (процес також завершується та запускається кодом макросу).\r\nОсновним призначенням файлу \"ctec.dll\" є дешифрування і запуск шеллкоду з файлу \"windows.png\", що, у\r\nсвою чергу, призведе до запуску в пам'яті ЕОМ компоненту фреймворку COVENANT\r\n(\"ksmqsyck.dx4.exe\"), який, в якості каналу управління, використовує API сервісу Koofr.\r\nВиходячи з деталей комп'ютерно-технічного дослідження припускаємо, що COVENANT використано для\r\nзавантаження на ЕОМ виконуваного файлу \"%LOCALAPPDATA%\\Packages\\PlaySndSrv.dll\" та файлу\r\n\"%USERPROFILE%\\Music\\Samples\\sample-03.wav\". Насамкінець, \"PlaySndSrv.dll\" забезпечить зчитування\r\nз файлу \"sample-03.wav\" та запуск шелкоду, що в результаті призведе до запуску на ЕОМ бекдору\r\nBEARDSHELL. Зауважимо, що персистентність \"PlaySndSrv.dll\" забезпечується створенням ключа в\r\nреєстрі \"HKEY_CURRENT_USER\\Software\\Classes\\CLSID\\{2DEA658F-54C1-4227-AF9B-260AB5FC3543}\\InProcServer32\" (COM-hijacking), що призведе до запуску останньої штатним\r\nзапланованим завданням \"Microsoft\\Windows\\Multimedia\\SystemSoundsService\".\r\nУспішність реалізації кіберзагрози пояснюється можливістю запуску макросів, неконтрольованістю\r\nхостовими засобами захисту Signal'у, як засобу доставки інформації на ЕОМ, а також використанням API\r\nлегітимних сервісів як каналу управління. Рекомендуємо звернути увагу на мережеву взаємодію з\r\n\"app.koofr.net\" та \"api.icedrive.net\".\r\nОписану активність асоційовано з діяльністю угруповання UAC-0001 (APT28).\r\nІндикатори кіберзагроз\r\nФайли:\r\n915179579ab7dc358c41ea99e4fcab52 c49d4acad68955692c32d5fa924eb5bb3f95a192d2c70ff6b0b2ce63c6afe985\r\n2cae8dc37baf5216a3e7342aac755894 be588c14f7ed3252e36c7db623c09cde8e01fa850c5431d9d621ac942695804d\r\nb52c71318815836126f1257a180a74e7 0a0fefb509a85c069539003c03c4f9c292d415fb27d18aef750446b63533b432\r\n5171e84d59fd2bbef9235dfa6459ad8a 84e9eb9615f16316adac6c261fe427905bf1a3d36161e2e4f7658cd177a2c460\r\n99f2fd309b88b8ec3a9c9c50dddb08b5 296b294a5fed830c2ff1fac9cb361a2d665b70f2f37188b593b5d1401cd6ca28\r\nbd76f54d26bf00686da42f3664e3f2ae 225b7abe861375141f6cfebde4981f615cb2aa4d913faf85172666fa4b4b320b\r\nb859f38bfa8bba05d7c0eb4207b95037 d1deeaf0f1807720b11d0f235e3c134a1384054e4c3700eabab26b3a39d2c19a\r\nb6e3894c17fb05db754a61ac9a0e5925 20987f7163c8fe466930ece075cd051273530dfcbe8893600fd21fcfb58b5b08\r\nd802290cb9e5c3fed1ba1a8daf827882 88e28107fbf171fdbcf4abbc0c731295549923e82ce19d5b6f6fefa3c9f497c9\r\n8e0143a6fd791c859d79445768af44d1 39c1f38d0bdc70e50588964ccf3e63dabb871dca83392305a0c64144c7860155\r\n(2024 рік)\r\n5d938b4316421a2caf7e2e0121b36459 2eabe990f91bfc480c09db02a4de43116b40da2d6eaad00a034adf4214dac4d1\r\n889b83d375a0fb00670af5276816080e 9faeb1c8a4b9827f025a63c086d87c409a369825428634b2b01314460a332c6c\r\nhttps://cert.gov.ua/article/6284080\r\nPage 2 of 4\n\nХостові:\r\n%APPDATA%\\microsoft\\protect\\ctec.dll\r\n%LOCALAPPDATA%\\Packages\\PlaySndSrv.dll\r\n%LOCALAPPDATA%\\windows.png\r\n%TEMP%\\cache_d3qf5gw56jikh5tb6\r\n%TEMP%\\io1snrb41da2gn5.tmp\r\n%USERPROFILE%\\Music\\Samples\\sample-03.wav\r\n%TEMP%\\cache_ertf5gw56jikh5dwe\r\n%PUBLIC%\\Pictures\\WordIllustration.png\r\nHKEY_CURRENT_USER\\Software\\Classes\\CLSID\\{2227A280-3AEA-1069-A2DE-08002B30309D}\\InProcServer32\r\nHKEY_CURRENT_USER\\Software\\Classes\\CLSID\\{2DEA658F-54C1-4227-AF9B-260AB5FC3543}\\InProcServer32\r\nMicrosoft\\Windows\\Multimedia\\SystemSoundsService\r\n(2024 рік)\r\nC:\\Windows\\System32\\tcpiphlpsvc.dll\r\nC:\\Windows\\System32\\wbem\\eapphost.dll\r\nreg.exe ADD HKLM\\SYSTEM\\CurrentControlSet\\Services\\tcpiphlpsvc\\Parameters /v ServiceDll /t REG_EXPAND\r\nsc.exe create tcpiphlpsvc binPath= \"C:\\Windows\\System32\\svchost.exe -k TCPIPHLPSVC start= auto Displa\r\nМережеві:\r\n(легітимні сервіси)\r\napi.icedrive[.]net\r\napp.koofr[.]net\r\nhXXps://api.icedrive[.]net\r\nhXXps://app.koofr[.]net\r\nicedrive[.]net\r\nkoofr[.]net\r\nГрафічні зображення\r\nРис. 1 Приклад комунікації зі зловмисником у Signal\r\nhttps://cert.gov.ua/article/6284080\r\nPage 3 of 4\n\nРис. 2 Приклад документу да частин коду деобфускованого макросу\r\nРис. 3 Приклад способу забезпечення персистентності лоадеру для бекдору BEARDSHELL\r\nSource: https://cert.gov.ua/article/6284080\r\nhttps://cert.gov.ua/article/6284080\r\nPage 4 of 4", "extraction_quality": 1, "language": "EN", "sources": [ "Malpedia" ], "references": [ "https://cert.gov.ua/article/6284080" ], "report_names": [ "6284080" ], "threat_actors": [ { "id": "730dfa6e-572d-473c-9267-ea1597d1a42b", "created_at": "2023-01-06T13:46:38.389985Z", "updated_at": "2026-04-10T02:00:02.954105Z", "deleted_at": null, "main_name": "APT28", "aliases": [ "Pawn Storm", "ATK5", "Fighting Ursa", "Blue Athena", "TA422", "T-APT-12", "APT-C-20", "UAC-0001", "IRON TWILIGHT", "SIG40", "UAC-0028", "Sofacy", "BlueDelta", "Fancy Bear", "GruesomeLarch", "Group 74", "ITG05", "FROZENLAKE", "Forest Blizzard", "FANCY BEAR", "Sednit", "SNAKEMACKEREL", "Tsar Team", "TG-4127", "STRONTIUM", "Grizzly Steppe", "G0007" ], "source_name": "MISPGALAXY:APT28", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "e3767160-695d-4360-8b2e-d5274db3f7cd", "created_at": "2022-10-25T16:47:55.914348Z", "updated_at": "2026-04-10T02:00:03.610018Z", "deleted_at": null, "main_name": "IRON TWILIGHT", "aliases": [ "APT28 ", "ATK5 ", "Blue Athena ", "BlueDelta ", "FROZENLAKE ", "Fancy Bear ", "Fighting Ursa ", "Forest Blizzard ", "GRAPHITE ", "Group 74 ", "PawnStorm ", "STRONTIUM ", "Sednit ", "Snakemackerel ", "Sofacy ", "TA422 ", "TG-4127 ", "Tsar Team ", "UAC-0001 " ], "source_name": "Secureworks:IRON TWILIGHT", "tools": [ "Downdelph", "EVILTOSS", "SEDUPLOADER", "SHARPFRONT" ], "source_id": "Secureworks", "reports": null }, { "id": "ae320ed7-9a63-42ed-944b-44ada7313495", "created_at": "2022-10-25T15:50:23.671663Z", "updated_at": "2026-04-10T02:00:05.283292Z", "deleted_at": null, "main_name": "APT28", "aliases": [ "APT28", "IRON TWILIGHT", "SNAKEMACKEREL", "Group 74", "Sednit", "Sofacy", "Pawn Storm", "Fancy Bear", "STRONTIUM", "Tsar Team", "Threat Group-4127", "TG-4127", "Forest Blizzard", "FROZENLAKE", "GruesomeLarch" ], "source_name": "MITRE:APT28", "tools": [ "Wevtutil", "certutil", "Forfiles", "DealersChoice", "Mimikatz", "ADVSTORESHELL", "Komplex", "HIDEDRV", "JHUHUGIT", "Koadic", "Winexe", "cipher.exe", "XTunnel", "Drovorub", "CORESHELL", "OLDBAIT", "Downdelph", "XAgentOSX", "USBStealer", "Zebrocy", "reGeorg", "Fysbis", "LoJax" ], "source_id": "MITRE", "reports": null } ], "ts_created_at": 1775434746, "ts_updated_at": 1775792220, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/8dbd92642624bd0334548e3fdadb4f9f127756c4.pdf", "text": "https://archive.orkl.eu/8dbd92642624bd0334548e3fdadb4f9f127756c4.txt", "img": "https://archive.orkl.eu/8dbd92642624bd0334548e3fdadb4f9f127756c4.jpg" } }