{ "id": "bb1b665e-d72e-49fa-b4f2-2856fd2297bc", "created_at": "2026-04-06T00:15:04.750166Z", "updated_at": "2026-04-10T13:12:46.011195Z", "deleted_at": null, "sha1_hash": "9566b3b90b3b9b7e6d599b07533b6ebb26302c85", "title": "CERT-UA", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1143975, "plain_text": "CERT-UA\r\nArchived: 2026-04-05 13:42:44 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA зафіксовано факт\r\nмасового розповсюдження електронних листів з темою \"Об'єднаний офіційний звіт про гуманітарну\r\nситуацію. Україна\" та вкладенням у вигляді XLS-документу \"Гуманітарна катастрофа України з 24 лютого\r\n2022 року.xls\". При цьому електронні листи розсилаються зі скомпрометованих електронних адрес\r\nдержавних органів України.\r\nЗгаданий документ містить макрос, активація якого призведе до запуску файлу \"baseupd.exe\", виконання\r\nякого призведе до ураження комп'ютера шкідливою програмою Cobalt Strike Beacon.\r\nCERT-UA вживаються заходи зі встановлення обставин компрометації облікових записів електронної\r\nпошти, а також блокування серверу управління шкідливою програмою.\r\nВиходячи з використаних тактик, активність асоційовано з діяльністю групи UAC-0056.\r\nНаполегливо рекомендуємо запровадити використання багатофакторної автентифікації для електронної\r\nпошти.\r\nІндикатори компрометації\r\nФайли:\r\nc73d42d7546fe049f63115635c092288 73e1f2762ffe8e674f08d83c1308362bd96ccd4f64c307ee0a568bc66faf45bb\r\n169b38e089926371592a5ef66ae5c52b 501d4741a0aa8784e9feeb9f960f259c09cbceccb206f355209c851b7f094eff\r\n23cf0517359c014a8d25085eceb2cb25 f3f43f3f4d55c0382f9045fd8093eef66074ca7d97dad066746ace47cc47319a\r\nf063766d0481194829be3c5db209bfcf df4724e21d9dea9b3e7f38b1ad905ad1922d30b6142da01c0218ed80644ca22a\r\n6cac251512ecd9f0627cf0da5d0a0ff7 e390d3d9004124616a18d10dc5b9f6eeab6b01bd167fac4d783036af574a4278\r\na3cf45b6206bedee45c45b6ccdc8be98 2ed48e578a522a4e718510572056c5cd86d11bdf7e71a52c68a55ebb823771da\r\n3f29f5c1733b3ea1c1cfe36826e33a2a 00ae9c36c0ebce87efcd63852716ed88599d0ba8bf117ad1771a35b9c67e3402\r\nМережеві:\r\n136[.]144.41.177\r\nhXXp://136[.]144.41.177/s/Xnk75JwUcIebkrmENtufIiiKEmoqBN/field-keywords/\r\nhXXp://136[.]144.41.177/nzXlLVas-VALvDh9lopkC/avp/amznussraps/\r\nMozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69\r\nХостові:\r\nhttps://cert.gov.ua/article/703548\r\nPage 1 of 3\n\nC:\\ProgramData\\oYUuQbXu\r\nHKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Check License\r\nГрафічні зображення\r\nЗа темою «ШПЗ»\r\nБільше новин\r\nhttps://cert.gov.ua/article/703548\r\nPage 2 of 3\n\nSource: https://cert.gov.ua/article/703548\r\nhttps://cert.gov.ua/article/703548\r\nPage 3 of 3", "extraction_quality": 1, "language": "EN", "sources": [ "Malpedia" ], "origins": [ "web" ], "references": [ "https://cert.gov.ua/article/703548" ], "report_names": [ "703548" ], "threat_actors": [ { "id": "610a7295-3139-4f34-8cec-b3da40add480", "created_at": "2023-01-06T13:46:38.608142Z", "updated_at": "2026-04-10T02:00:03.03764Z", "deleted_at": null, "main_name": "Cobalt", "aliases": [ "Cobalt Group", "Cobalt Gang", "GOLD KINGSWOOD", "COBALT SPIDER", "G0080", "Mule Libra" ], "source_name": "MISPGALAXY:Cobalt", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "eecf54a2-2deb-41e5-9857-fed94a53f858", "created_at": "2023-01-06T13:46:39.349959Z", "updated_at": "2026-04-10T02:00:03.296196Z", "deleted_at": null, "main_name": "SaintBear", "aliases": [ "Bleeding Bear", "Cadet Blizzard", "Nascent Ursa", "Nodaria", "Storm-0587", "DEV-0587", "Saint Bear", "EMBER BEAR", "UNC2589", "TA471", "UAC-0056", "FROZENVISTA", "Lorec53", "Lorec Bear" ], "source_name": "MISPGALAXY:SaintBear", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "c28760b2-5ec6-42ad-852f-be00372a7ce4", "created_at": "2022-10-27T08:27:13.172734Z", "updated_at": "2026-04-10T02:00:05.279557Z", "deleted_at": null, "main_name": "Ember Bear", "aliases": [ "Ember Bear", "UNC2589", "Bleeding Bear", "DEV-0586", "Cadet Blizzard", "Frozenvista", "UAC-0056" ], "source_name": "MITRE:Ember Bear", "tools": [ "P.A.S. Webshell", "CrackMapExec", "ngrok", "reGeorg", "WhisperGate", "Saint Bot", "PsExec", "Rclone", "Impacket" ], "source_id": "MITRE", "reports": null }, { "id": "03a6f362-cbab-4ce9-925d-306b8c937bf1", "created_at": "2024-11-01T02:00:52.635907Z", "updated_at": "2026-04-10T02:00:05.339384Z", "deleted_at": null, "main_name": "Saint Bear", "aliases": [ "Saint Bear", "Storm-0587", "TA471", "UAC-0056", "Lorec53" ], "source_name": "MITRE:Saint Bear", "tools": [ "OutSteel", "Saint Bot" ], "source_id": "MITRE", "reports": null }, { "id": "083d63b2-3eee-42a8-b1bd-54e657a229e8", "created_at": "2022-10-25T16:07:24.143338Z", "updated_at": "2026-04-10T02:00:04.879634Z", "deleted_at": null, "main_name": "SaintBear", "aliases": [ "Ember Bear", "FROZENVISTA", "G1003", "Lorec53", "Nascent Ursa", "Nodaria", "SaintBear", "Storm-0587", "TA471", "UAC-0056", "UNC2589" ], "source_name": "ETDA:SaintBear", "tools": [ "Agentemis", "Cobalt Strike", "CobaltStrike", "Elephant Client", "Elephant Implant", "GraphSteel", "Graphiron", "GrimPlant", "OutSteel", "Saint Bot", "SaintBot", "cobeacon" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434504, "ts_updated_at": 1775826766, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/9566b3b90b3b9b7e6d599b07533b6ebb26302c85.pdf", "text": "https://archive.orkl.eu/9566b3b90b3b9b7e6d599b07533b6ebb26302c85.txt", "img": "https://archive.orkl.eu/9566b3b90b3b9b7e6d599b07533b6ebb26302c85.jpg" } }