{ "id": "81b58a08-de9f-4444-950c-e04dbeca7fbe", "created_at": "2026-04-06T00:21:20.311124Z", "updated_at": "2026-04-10T03:37:50.279167Z", "deleted_at": null, "sha1_hash": "98cb9ab6217dde9bbcf0417b04d667f101aa2e69", "title": "CERT-UA", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 5897108, "plain_text": "CERT-UA\r\nArchived: 2026-04-05 20:32:46 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA досліджено\r\nкібератаку угрупування UAC-0063, здійснену 08.07.2024 по відношенню до однієї з українських науково-дослідних установ з використанням шкідливих програм HATVIBE та CHERRYSPY.\r\nНа етапі первинного ураження зловмисник, маючи доступ до облікового запису електронної пошти\r\nспівробітника установи, здійснив відправку копії нещодавно відправленого листа десяткам адресатів\r\n(включаючи самого відправника), замінивши оригінальний документ-вкладення іншим документом, в який\r\nбуло вбудовано макрос.\r\nУ випадку відкриття DOCX-документу та активації макросу на ЕОМ буде створено та відкрито ще один\r\nдокумент (DOC) з макросом, який, у свою чергу, забезпечить створення на ЕОМ закодованого HTA-файлу\r\nшкідливої програми HATVIBE \"RecordsService\", а також, файлу запланованого завдання\r\n\"C:\\Windows\\System32\\Tasks\\vManage\\StandaloneService\", призначеного для запуску останньої.\r\nВикористовуючи створену технічну можливість прихованого віддаленого управління ЕОМ, на комп'ютер в\r\nкаталог \"C:\\ProgramData\\Python\" згодом завантажено Python-інтерпретатор та файл шкідливої програми\r\nCHERRYSPY, який, на відміну від попередньої версії, обфускованої за допомогою pyArmor, скомпільовано\r\nв .pyd (DLL) файл.\r\nЗазначимо, що активність, яка відстежується за ідентифікатором UAC-0063, з середнім рівнем впевненості\r\nасоційовано з діяльністю угрупування APT28 (UAC-0001), яке має безпосереднє відношення до ГУ ГШ ЗС\r\nРФ. При цьому, на Virustotal виявлено DOCX-документ (MD5: 33c3e4599ad678133905e6c1589c12d2) з\r\nаналогічним макросом, який було завантажено з Вірменії 16.07.2024, контент-приманка якого містить\r\n(спотворений) текст, адресований Управлінню оборонної політики Міністерства оборони Республіки\r\nВірменія від імені Управління міжнародного військового співробітництва Міністерства оборони\r\nКиргизької Республіки.\r\nСлід додати, що в червні 2024 року зафіксовано числені випадки встановлення бекдору HATVIBE шляхом\r\nексплуатації вразливості (вірогідно, CVE-2024-23692) в програмному продукті HFS HTTP File Server\r\n(https://www.rejetto.com/hfs/), що свідчить про застосування угрупуванням UAC-0063 різних векторів\r\nпервинної компрометації.\r\nРеалізація кібератаки стала можливою у зв'язку з систематичним нехтуванням організацією типовими для\r\nпоточного ландшафту кіберзагроз рекомендаціями, зокрема:\r\nвідсутність двохфакторної автентифікації для облікових записів електронної пошти;\r\nчленство облікового запису користувача в групі \"Administrators\";\r\nhttps://cert.gov.ua/article/6280129\r\nPage 1 of 5\n\nвідсутність політик для блокування можливості запуску макросів, mshta.exe, а також інших програм\r\n(зокрема, інтерпретатору Python).\r\nКожен керівник та системний адміністратор (адміністратор безпеки), який допускає кібератаки, засоби,\r\nтактики, техніки і процедури реалізації яких неодноразово публічно описані, сприяє досягенню ворогом\r\nпоставлених цілей.\r\nІндикатори кіберзагроз\r\nФайли:\r\n197e86b76a41f154b64e092f7cc3b306 6c439e62fb404e9095392878ef32ffce18ce6155a1510f4005409243401e8caf\r\n81cdcda59c86f8aa636810e4a085d673 f9baa77117f5a058461e859efc67c8ce1ac205d1536326e01a030ab22295af5b\r\n7a2a8c002a5e22c6231885e1ccf82bd1 593ca6d639f7c3e99db768b318b765e7585496debfde553dc1df03f5894012e3\r\n7f865b65a82dcb18385644e0fd894727 259619899c60aa46df4f83558606813c79927c141bbf4b21bbf07b21b40e7ac1\r\n33c3e4599ad678133905e6c1589c12d2 e6daa00e095948acfc176d71c5bf667a0403e5259653ea5ac8950aee13180ae0\r\nd618720afd0ee49601f7933c414ffbb5 bcdbe035001af9d2cc173e975fa0b13b133e613b7d9b6e90df86672f9057e19b\r\n8e1b29046c7f5bd1ddd4f549e2555592 f4ada2b858c84da8b53c08ce4579f8b5b5df25e0d0f17ee0b48e10c87c338d23\r\nd84043b72bdceb92b2d60c2725bd674f 93322be0785556e627d2b09832c18e39c115e6a6fbff64b1e590e1ddcf8f6a43\r\n34ced721349626ce81c11693b9243c19 a171e9c413518750806ae094e32f15791d4193229cc598642760af536cf6551d\r\nd0c3b49e788600ff3967f784eb5de973 332d9db35daa83c5ad226b9bf50e992713bc6a69c9ecd52a1223b81e992bc725\r\n8159abd281783e0ae601afce3b7d23b1 48a30083f115ca0d359afc175cf942367207a73fdda28778e2b264534cf21830\r\nМережеві:\r\nhXXp://trust-certificate[.]net/setup.php\r\nhXXp://trust-certificate[.]net/tmp/379.zip\r\nhXXps://enrollmentdm[.]com:443\r\ntrust-certificate[.]net 2024-07-09 @namecheap.com\r\nenrollmentdm[.]com 2024-05-13 @namecheap.com\r\n185.158.248[.]198 RO @m247.com\r\n193.124.65[.]97 RU @mtw.ru\r\n45.136.198[.]184\r\n5.45.70[.]178\r\nhXXp://45.136.198[.]184/connect.php\r\nhXXp://45.136.198[.]184/input.php\r\nhXXp://45.136.198[.]184/output.php\r\nhXXp://5.45.70[.]178/RemoteAssistanceSvc.hta\r\nhttp://trust-certificate.net/setup.php\r\nhttp://trust-certificate.net/tmp/379.zip\r\nhttps://enrollmentdm.com:443\r\ntrust-certificate.net2024-07-09@namecheap.com\r\nenrollmentdm.com2024-05-13@namecheap.com\r\n185.158.248.198 RO@m247.com\r\nhttps://cert.gov.ua/article/6280129\r\nPage 2 of 5\n\n193.124.65.97\r\nRU@mtw.ru\r\n45.136.198.184\r\n5.45.70.178\r\nhttp://45.136.198.184/connect.php\r\nhttp://45.136.198.184/input.php\r\nhttp://45.136.198.184/output.php\r\nhttp://5.45.70.178/RemoteAssistanceSvc.hta\r\nХостові:\r\n%TMP%\\punkt-1-07-10-24-na-zasid.doc.doc\r\n%TMP%\\punkt-1-07-10-24-na-zasid.docx.doc\r\n%PROGRAMDATA%\\Python\\DLLs\r\n%PROGRAMDATA%\\Python\\Lib\r\n%PROGRAMDATA%\\Python\\Scripts\r\n%PROGRAMDATA%\\Python\\include\r\n%PROGRAMDATA%\\Python\\pip_update.cp37-win32.pyd\r\n%PROGRAMDATA%\\Python\\pip_update.pyd\r\n%PROGRAMDATA%\\Python\\python.exe\r\n%PROGRAMDATA%\\Python\\pythonw.exe\r\n%PROGRAMDATA%\\Python\\pythonw.exe -m pip_update.pyd 20 30\r\n%PROGRAMDATA%\\scripts\r\n%LOCALAPPDATA%\\Microsoft\\Windows\\INetCache\\IE\\0Q0UYOEK\\379[1].zip\r\n%LOCALAPPDATA%\\records\\RecordsService\r\nC:\\HFS\\RemoteAssistanceSvc.hta\r\nC:\\temp\\AccessProtection.hta\r\nC:\\temp\\RemoteAssistanceSvc.hta\r\nC:\\Windows\\System32\\Tasks\\Python\\UpdateService\r\nC:\\Windows\\System32\\Tasks\\vManage\\StandaloneService\r\n\\Python\\UpdateService\r\n\\vManage\\StandaloneService\r\nC:\\Windows\\System32\\mshta.exe %LOCALAPPDATA%\\records\\RecordsService\r\nГрафічні зображення\r\nhttps://cert.gov.ua/article/6280129\r\nPage 3 of 5\n\nРис.1 Ланцюг ураження\r\nРис.2 Приклад вмісту документу, використаного для атаки на Міністерство оборони Вірменії\r\nhttps://cert.gov.ua/article/6280129\r\nPage 4 of 5\n\nРис.3 Приклад ураження ЕОМ з вразливою версією HFS\r\nSource: https://cert.gov.ua/article/6280129\r\nhttps://cert.gov.ua/article/6280129\r\nPage 5 of 5", "extraction_quality": 1, "language": "EN", "sources": [ "Malpedia", "ETDA" ], "references": [ "https://cert.gov.ua/article/6280129" ], "report_names": [ "6280129" ], "threat_actors": [ { "id": "d0d996a0-98e2-49fd-b55e-97ba053c4ed0", "created_at": "2024-07-25T02:00:04.423466Z", "updated_at": "2026-04-10T02:00:03.679863Z", "deleted_at": null, "main_name": "UAC-0063", "aliases": [], "source_name": "MISPGALAXY:UAC-0063", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "730dfa6e-572d-473c-9267-ea1597d1a42b", "created_at": "2023-01-06T13:46:38.389985Z", "updated_at": "2026-04-10T02:00:02.954105Z", "deleted_at": null, "main_name": "APT28", "aliases": [ "Pawn Storm", "ATK5", "Fighting Ursa", "Blue Athena", "TA422", "T-APT-12", "APT-C-20", "UAC-0001", "IRON TWILIGHT", "SIG40", "UAC-0028", "Sofacy", "BlueDelta", "Fancy Bear", "GruesomeLarch", "Group 74", "ITG05", "FROZENLAKE", "Forest Blizzard", "FANCY BEAR", "Sednit", "SNAKEMACKEREL", "Tsar Team", "TG-4127", "STRONTIUM", "Grizzly Steppe", "G0007" ], "source_name": "MISPGALAXY:APT28", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "e3767160-695d-4360-8b2e-d5274db3f7cd", "created_at": "2022-10-25T16:47:55.914348Z", "updated_at": "2026-04-10T02:00:03.610018Z", "deleted_at": null, "main_name": "IRON TWILIGHT", "aliases": [ "APT28 ", "ATK5 ", "Blue Athena ", "BlueDelta ", "FROZENLAKE ", "Fancy Bear ", "Fighting Ursa ", "Forest Blizzard ", "GRAPHITE ", "Group 74 ", "PawnStorm ", "STRONTIUM ", "Sednit ", "Snakemackerel ", "Sofacy ", "TA422 ", "TG-4127 ", "Tsar Team ", "UAC-0001 " ], "source_name": "Secureworks:IRON TWILIGHT", "tools": [ "Downdelph", "EVILTOSS", "SEDUPLOADER", "SHARPFRONT" ], "source_id": "Secureworks", "reports": null }, { "id": "ae320ed7-9a63-42ed-944b-44ada7313495", "created_at": "2022-10-25T15:50:23.671663Z", "updated_at": "2026-04-10T02:00:05.283292Z", "deleted_at": null, "main_name": "APT28", "aliases": [ "APT28", "IRON TWILIGHT", "SNAKEMACKEREL", "Group 74", "Sednit", "Sofacy", "Pawn Storm", "Fancy Bear", "STRONTIUM", "Tsar Team", "Threat Group-4127", "TG-4127", "Forest Blizzard", "FROZENLAKE", "GruesomeLarch" ], "source_name": "MITRE:APT28", "tools": [ "Wevtutil", "certutil", "Forfiles", "DealersChoice", "Mimikatz", "ADVSTORESHELL", "Komplex", "HIDEDRV", "JHUHUGIT", "Koadic", "Winexe", "cipher.exe", "XTunnel", "Drovorub", "CORESHELL", "OLDBAIT", "Downdelph", "XAgentOSX", "USBStealer", "Zebrocy", "reGeorg", "Fysbis", "LoJax" ], "source_id": "MITRE", "reports": null }, { "id": "d2516b8e-e74f-490d-8a15-43ad6763c7ab", "created_at": "2022-10-25T16:07:24.212584Z", "updated_at": "2026-04-10T02:00:04.900038Z", "deleted_at": null, "main_name": "Sofacy", "aliases": [ "APT 28", "ATK 5", "Blue Athena", "BlueDelta", "FROZENLAKE", "Fancy Bear", "Fighting Ursa", "Forest Blizzard", "G0007", "Grey-Cloud", "Grizzly Steppe", "Group 74", "GruesomeLarch", "ITG05", "Iron Twilight", "Operation DealersChoice", "Operation Dear Joohn", "Operation Komplex", "Operation Pawn Storm", "Operation RoundPress", "Operation Russian Doll", "Operation Steal-It", "Pawn Storm", "SIG40", "Sednit", "Snakemackerel", "Sofacy", "Strontium", "T-APT-12", "TA422", "TAG-0700", "TAG-110", "TG-4127", "Tsar Team", "UAC-0028", "UAC-0063" ], "source_name": "ETDA:Sofacy", "tools": [ "ADVSTORESHELL", "AZZY", "Backdoor.SofacyX", "CHERRYSPY", "CORESHELL", "Carberp", "Computrace", "DealersChoice", "Delphacy", "Downdelph", "Downrage", "Drovorub", "EVILTOSS", "Foozer", "GAMEFISH", "GooseEgg", "Graphite", "HATVIBE", "HIDEDRV", "Headlace", "Impacket", "JHUHUGIT", "JKEYSKW", "Koadic", "Komplex", "LOLBAS", "LOLBins", "Living off the Land", "LoJack", "LoJax", "MASEPIE", "Mimikatz", "NETUI", "Nimcy", "OCEANMAP", "OLDBAIT", "PocoDown", "PocoDownloader", "Popr-d30", "ProcDump", "PythocyDbg", "SMBExec", "SOURFACE", "SPLM", "STEELHOOK", "Sasfis", "Sedkit", "Sednit", "Sedreco", "Seduploader", "Shunnael", "SkinnyBoy", "Sofacy", "SofacyCarberp", "SpiderLabs Responder", "Trojan.Shunnael", "Trojan.Sofacy", "USB Stealer", "USBStealer", "VPNFilter", "Win32/USBStealer", "WinIDS", "Winexe", "X-Agent", "X-Tunnel", "XAPS", "XTunnel", "Xagent", "Zebrocy", "Zekapab", "carberplike", "certutil", "certutil.exe", "fysbis", "webhp" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434880, "ts_updated_at": 1775792270, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/98cb9ab6217dde9bbcf0417b04d667f101aa2e69.pdf", "text": "https://archive.orkl.eu/98cb9ab6217dde9bbcf0417b04d667f101aa2e69.txt", "img": "https://archive.orkl.eu/98cb9ab6217dde9bbcf0417b04d667f101aa2e69.jpg" } }