{
	"id": "139f970a-e828-4ed6-b952-20ead6b7079e",
	"created_at": "2026-04-06T00:11:53.803655Z",
	"updated_at": "2026-04-10T13:12:37.095218Z",
	"deleted_at": null,
	"sha1_hash": "9ade31bf4fd8e2cd047c286bf6229731f897786e",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1117864,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 17:56:46 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA зафіксовано масове\r\nрозповсюдження електронних листів, начебто, від АТ \"Укртелеком\", з темою \"Судова претензія за Вашим\r\nособовим рахунком # 7192206443063763 от: 06.02.2023\" та додатком у вигляді RAR-архіву \"судовий лист,\r\nінформація щодо заборгування.rar\".\r\nАрхів містить текстовий документ \"Ваш персональний код доступу -254507.txt\" та ще один RAR-архів\r\n\"судовий лист, інформація щодо заборгування. pdf.rar\", захищений паролем. В другому архіві знаходиться\r\nвиконуваний файл \"судовий лист, інформація щодо заборгування.pdf.exe\", розміром більше 600МБ.\r\nЗапуск EXE-файлу призведе до встановлення на комп'ютері жертви програми для віддаленого контролю та\r\nспостереження Remcos, що є розробкою компанії \"BreakingSecurity\" (на вебсайті виробника можливо\r\nзавантажити безкоштовну версію продукту; мінімальная вартість варіанту \"Professional\" становить 58€).\r\nВиявлена активність відстежується за ідентифікатором UAC-0050, щонайменше, з 2020 року. Попередні\r\nкібератаки згаданої групи здійснювалися із застосуванням програми для віддаленого адміністрування\r\nRemoteUtilities.\r\nВиходячи з того, що об'єктами кібератак, зазвичай (але не виключно), є органи державної влади України, а\r\nтакож, беручи до уваги функціонал використовуваних програм, вважаємо, що активність здійснюється з\r\nметою шпигунства.\r\nІндикатори компрометації\r\nФайли:\r\n5d2bc8cf04bef0aec1dc0fa65fb6ab53 f1103f0e35b7b47f020f951f07a87c74275aacec6a2610690a0f80e34e8ea\r\n8712bdd0adcdab3a6cd7bc5886b6facc 6438fd91958ed9da098e6efd518cbad889f0411cabb7e5a9dd26f81090776\r\n83db7ccad37b6be6cd10d5cd9301a1ea 5047f53e2e496b38b1a11bc856c79d6602fb28f7a0b16a4c4082845dee225\r\n43a4ce40b5f06ddce984176ae6c89058  644f8bf83d861db06b736b1d5e541e35d3eae75a74d6f2561fa26a9a271a2\r\nee42511075de43ee5be1f719b9d821f3 ca408a4f313a8dc8afe42b490e74b345d758bc319c0b5b251f03fed84e8de\r\nХостові:\r\n%USERPROFILE%\\sql\\sql.exe\r\n%TEMP%\\2.exe\r\n\\Sessions\\1\\BaseNamedObjects\\Rgh-LGM50O\r\nhttps://cert.gov.ua/article/3804703\r\nPage 1 of 3\n\nHKCU\\Software\\Rgh-LGM50O\r\nHKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\skype_upd\r\nМережеві:\r\ninfo@telecomds.online\r\ngluschko.i.k@ukrtelecom.ua (підроблена адреса)\r\ntelecomds[.]online\r\n80[.]78.254.28\r\n101[.]99.91.158\r\n94[.]131.99.153\r\n124[.]88.67.67\r\n124[.]88.67.98\r\n94[.]131.99.156\r\n94[.]131.99.89\r\n94[.]131.99.56\r\n178[.]23.190.252\r\n178[.]23.190.253\r\n178[.]23.190.254\r\n178[.]23.190.54\r\ntcp://101[.]99.91.158:5222\r\ntcp://94[.]131.99.153:8080\r\ntcp://124[.]88.67.67:5222\r\ntcp://124[.]88.67.98:5222\r\ntcp://94[.]131.99.153:5222\r\ntcp://94[.]131.99.156:5222\r\ntcp://94[.]131.99.89:5222\r\ntcp://94[.]131.99.56:5222\r\ntcp://178[.]23.190.252:8080\r\ntcp://178[.]23.190.253:8080\r\ntcp://178[.]23.190.254:8080\r\ntcp://178[.]23.190.54:8080\r\nГрафічні зображення\r\nhttps://cert.gov.ua/article/3804703\r\nPage 2 of 3\n\nSource: https://cert.gov.ua/article/3804703\r\nhttps://cert.gov.ua/article/3804703\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia",
		"MISPGALAXY"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://cert.gov.ua/article/3804703"
	],
	"report_names": [
		"3804703"
	],
	"threat_actors": [
		{
			"id": "a2e59183-d83f-47aa-adf9-97925d8e6452",
			"created_at": "2023-12-08T02:00:05.762162Z",
			"updated_at": "2026-04-10T02:00:03.496538Z",
			"deleted_at": null,
			"main_name": "UAC-0050",
			"aliases": [],
			"source_name": "MISPGALAXY:UAC-0050",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434313,
	"ts_updated_at": 1775826757,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/9ade31bf4fd8e2cd047c286bf6229731f897786e.pdf",
		"text": "https://archive.orkl.eu/9ade31bf4fd8e2cd047c286bf6229731f897786e.txt",
		"img": "https://archive.orkl.eu/9ade31bf4fd8e2cd047c286bf6229731f897786e.jpg"
	}
}