{
	"id": "09da512d-a487-40ea-a3c7-234a04be7507",
	"created_at": "2026-04-06T00:13:57.160101Z",
	"updated_at": "2026-04-10T03:36:59.308705Z",
	"deleted_at": null,
	"sha1_hash": "9acbafc1afd37997b0a786d7a62fe2b46f9fee93",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1849928,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 17:14:47 UTC\r\nЗагальна інформація\r\nНаціональною командою реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA 10.07.2025\r\nотримано інформацію щодо розповсюдження серед органів виконавчої влади, начебто від імені\r\nпредставника профільного міністерства, електронних листів із вкладенням у вигляді файлу\r\n\"Додаток.pdf.zip\".\r\nЗгаданий ZIP-архів містив одноіменний виконуваний файл із розширенням \".pif\", сконвертований за\r\nдопомогою PyInstaller з вихідного коду, розробленого на мові програмування Python, класифікованого\r\nCERT-UA як (шкідливий) програмний засіб LAMEHUG.\r\nПід час дослідження інциденту додатково виявлено щонайменше два варіанти згаданого програмного\r\nзасобу у вигляді файлів \"AI_generator_uncensored_Canvas_PRO_v0.9.exe\", \"image.py\" з функціональними\r\nвідмінностями в частині способу ексфільтрації даних з ЕОМ.\r\nСлід зауважити, що для розповсюдження електронних листів використано скомпрометований обліковий\r\nзапис електронної пошти, а інфраструктура управління розгорнута на легітимних, проте\r\nскомпрометованих ресурсах.\r\nОчевидною особливістю LAMEHUG є застосування LLM (великої мовної моделі), використаної для\r\nгенерації команд на основі їх текстового представлення (опису).\r\nЗ помірним рівнем впевненості активність асоційовано з діяльністю UAC-0001 (APT28).\r\nLAMEHUG - програма, розроблена з використанням мови програмування Python. Використовує LLM\r\nQwen 2.5-Coder-32B-Instruct через API сервісу huggingface[.]co для формування команд на основі статично\r\nзавданого тексту (опису) з метою їх подальшого виконання на ЕОМ. Зокрема, передбачено збір (та\r\nзбереження у файлі \"%PROGRAMDATA%\\info\\info.txt\") базової інформації про комп'ютер (апаратне\r\nзабезпечення, процеси, служби, мережеві з'єднання), а також рекурсивний пошук документів Microsoft\r\nOffice (в т.ч. TXT, PDF) в каталогах \"Documents\", \"Downloads\" та \"Desktop\" та їх копіювання до папки\r\n\"%PROGRAMDATA%\\info\\\". Ексфільтрація отриманої інформації та файлів (у різних версіях програми)\r\nможе здійснюватися за допомогою SFTP або HTTP POST-запитів.\r\nІндикатори кіберзагроз\r\nФайли:\r\n7f7e8d9bbb835f03084d088d5bb722af 8013b23cb78407675f323d54b6b8dfb2a61fb40fb13309337f5b662dbd812\r\nabe531e9f1e642c47260fac40dc41f59 766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b\r\ncafe08392d476a057d85de4983bac94e a30930dfb655aa39c571c163ada65ba4dec30600df3bf548cc48bedd0e841\r\nhttps://cert.gov.ua/article/6284730\r\nPage 1 of 3\n\n3ca2eaf204611f3314d802c8b794ae2c d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135d\r\nf72c45b658911ad6f5202de55ba6ed5c bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1de\r\n81cd20319c8f0b2ce499f9253ce0a6a8 384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65\r\nХостові:\r\n%PROGRAMDATA%\\info\\\r\n%PROGRAMDATA%\\info\\info.txt\r\n%PROGRAMDATA%\\Додаток.pdf\r\ncmd.exe /c \"mkdir %PROGRAMDATA%\\info \u0026\u0026 systeminfo \u003e\u003e %PROGRAMDATA%\\info\\info.txt \u0026\u0026 wmic computersys\r\nМережеві:\r\nboroda70@meta[.]ua (скомпрометований обліковий запис)\r\n(tcp)://144[.]126.202.227:22\r\nstayathomeclasses[.]com (скомпрометований ресурс)\r\nhXXps://stayathomeclasses[.]com/slpw/up.php\r\n144[.]126.202.227 (вірогідно скомпрометований ресурс)\r\n192[.]36.27.37 (LeVPN; відправка електронних листів)\r\nMozilla/5.0 (Windows NT 10.0; Win64; x64; rv:140.0) Gecko/20100101 Firefox/140.0\r\n(tcp)://144.126.202.227:22\r\nstayathomeclasses.com (скомпрометований ресурс)\r\nhXXps://stayathomeclasses.com/slpw/up.php\r\n144.126.202.227 (вірогідно скомпрометований ресурс)\r\n192.36.27.37 (LeVPN; відправка електронних листів)\r\nГрафічні зображення\r\nhttps://cert.gov.ua/article/6284730\r\nPage 2 of 3\n\nРис. 1 Приклад ланцюга ураження\r\nSource: https://cert.gov.ua/article/6284730\r\nhttps://cert.gov.ua/article/6284730\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/6284730"
	],
	"report_names": [
		"6284730"
	],
	"threat_actors": [
		{
			"id": "730dfa6e-572d-473c-9267-ea1597d1a42b",
			"created_at": "2023-01-06T13:46:38.389985Z",
			"updated_at": "2026-04-10T02:00:02.954105Z",
			"deleted_at": null,
			"main_name": "APT28",
			"aliases": [
				"Pawn Storm",
				"ATK5",
				"Fighting Ursa",
				"Blue Athena",
				"TA422",
				"T-APT-12",
				"APT-C-20",
				"UAC-0001",
				"IRON TWILIGHT",
				"SIG40",
				"UAC-0028",
				"Sofacy",
				"BlueDelta",
				"Fancy Bear",
				"GruesomeLarch",
				"Group 74",
				"ITG05",
				"FROZENLAKE",
				"Forest Blizzard",
				"FANCY BEAR",
				"Sednit",
				"SNAKEMACKEREL",
				"Tsar Team",
				"TG-4127",
				"STRONTIUM",
				"Grizzly Steppe",
				"G0007"
			],
			"source_name": "MISPGALAXY:APT28",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "e3767160-695d-4360-8b2e-d5274db3f7cd",
			"created_at": "2022-10-25T16:47:55.914348Z",
			"updated_at": "2026-04-10T02:00:03.610018Z",
			"deleted_at": null,
			"main_name": "IRON TWILIGHT",
			"aliases": [
				"APT28 ",
				"ATK5 ",
				"Blue Athena ",
				"BlueDelta ",
				"FROZENLAKE ",
				"Fancy Bear ",
				"Fighting Ursa ",
				"Forest Blizzard ",
				"GRAPHITE ",
				"Group 74 ",
				"PawnStorm ",
				"STRONTIUM ",
				"Sednit ",
				"Snakemackerel ",
				"Sofacy ",
				"TA422 ",
				"TG-4127 ",
				"Tsar Team ",
				"UAC-0001 "
			],
			"source_name": "Secureworks:IRON TWILIGHT",
			"tools": [
				"Downdelph",
				"EVILTOSS",
				"SEDUPLOADER",
				"SHARPFRONT"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "ae320ed7-9a63-42ed-944b-44ada7313495",
			"created_at": "2022-10-25T15:50:23.671663Z",
			"updated_at": "2026-04-10T02:00:05.283292Z",
			"deleted_at": null,
			"main_name": "APT28",
			"aliases": [
				"APT28",
				"IRON TWILIGHT",
				"SNAKEMACKEREL",
				"Group 74",
				"Sednit",
				"Sofacy",
				"Pawn Storm",
				"Fancy Bear",
				"STRONTIUM",
				"Tsar Team",
				"Threat Group-4127",
				"TG-4127",
				"Forest Blizzard",
				"FROZENLAKE",
				"GruesomeLarch"
			],
			"source_name": "MITRE:APT28",
			"tools": [
				"Wevtutil",
				"certutil",
				"Forfiles",
				"DealersChoice",
				"Mimikatz",
				"ADVSTORESHELL",
				"Komplex",
				"HIDEDRV",
				"JHUHUGIT",
				"Koadic",
				"Winexe",
				"cipher.exe",
				"XTunnel",
				"Drovorub",
				"CORESHELL",
				"OLDBAIT",
				"Downdelph",
				"XAgentOSX",
				"USBStealer",
				"Zebrocy",
				"reGeorg",
				"Fysbis",
				"LoJax"
			],
			"source_id": "MITRE",
			"reports": null
		}
	],
	"ts_created_at": 1775434437,
	"ts_updated_at": 1775792219,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/9acbafc1afd37997b0a786d7a62fe2b46f9fee93.pdf",
		"text": "https://archive.orkl.eu/9acbafc1afd37997b0a786d7a62fe2b46f9fee93.txt",
		"img": "https://archive.orkl.eu/9acbafc1afd37997b0a786d7a62fe2b46f9fee93.jpg"
	}
}