{
	"id": "a1b343d5-9efb-4ef4-8a0a-7591fb285f61",
	"created_at": "2026-04-06T00:12:36.692705Z",
	"updated_at": "2026-04-10T13:11:20.244633Z",
	"deleted_at": null,
	"sha1_hash": "a2fb44c8490171fba67bf2b31ae18109a3deac29",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2208315,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-02 12:12:45 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA отримано\r\nінформацію щодо здійснення спроби ураження шкідливим програмним забезпеченням ЕОМ представника\r\nСил оборони України.\r\nЗ'ясовано, що засобами месенджеру Signal під виглядом необхідності надання документів для заміщення\r\nпосади в Департаменті операцій з підтримки миру ООН невстановленою особою надіслано файл\r\n\"Супровід.rar\". Згаданий архів містить експлойт для вразливості у програмному забезпеченні WinRAR\r\n(CVE-2023-38831). \r\nУ випадку відкриття архіву та успішної експлуатації вразливості буде виконано CMD-файл \"супровід.pdf\r\n.cmd\", що, серед іншого, призведе до відкриття документу-приманки \"DPO_SEC23-1_OMA_P-3_16-\r\nENG.pdf\" та запуску PowerShell-скриптів, що класифіковано як шкідливу програму COOKBOX (детальна\r\nінформація в публікації від 24.02.2024 https://cert.gov.ua/article/6277849 ).\r\nЗауважимо, що для забезпечення функціонування серверу управління COOKBOX використовується сервіс\r\nдинамічного DNS NoIP. За сприяння останніх відповідне доменне ім'я було заблоковане.\r\nКористувачів ЕОМ просимо бути пильними та критично ставитися до будь-яких спроб спонукання до\r\nвідкриття файлів чи переходу за посиланням, в тому числі тих, що надходять через мессенджери. За\r\nнайменшої підозри подібні повідомлення, посилання та файли надавати для аналізу до відповідних\r\nпідрозділів і/або CERT-UA.\r\nСистемним адміністраторам наполегливо рекомендуємо заборонити можливість запуску користувачами\r\nутиліт на кшталт powershell.exe, wscript.exe, csript.exe, mshta.exe та інших, для чого доцільно застосувати\r\nштатні механізми операційної системи (SRP, AppLocker, налаштування реєстру).\r\nІндикатори кіберзагроз\r\nФайли:\r\n2fec3ab587e6b5533b4c6b3c11dd357a  d8ccaef116cada9c558f9e912d5cf7ef2978082611e677f6f55ca233f47a2f68\r\ncc1732ce2d2cd79dc85893fdc3b7d143  6652b46987350e831678d7a33a70bce94c8c9cca137f0bb0efbbd0c07279cbb6\r\nba1859659089253621e5a65181ea94cd  8f8abfa6717ad2043a295d16b5aeeac3e7084b7994f6eec8351e18a9a3c59997\r\n1e857958a3c7f909ee1370c66d71adfd  56b569912a6e1c4c08e5612c0ef5ddf9f238b1d708621b89963b47b31e45cde1\r\nМережеві:\r\nhttps://cert.gov.ua/article/6278620\r\nPage 1 of 3\n\nMozilla/5.0(Windows NT 10.0;Win64;x64;rv:109.0)Gecko/20100101 Firefox/116.0\r\nhXXp://netman.servehttp[.]com\r\nhXXp://worker-misty-mouse-6ac7.aky15825.workers[.]dev/\r\nnetman.servehttp[.]com\r\nworker-misty-mouse-6ac7.aky15825.workers[.]dev\r\nХостові:\r\nHKCU:\\Environment\\XBoxD1\r\nHKCU:\\Environment\\XBoxD2\r\nHKCU:\\Environment\\XBoxD3\r\nHKCU:\\Environment\\XBoxD4\r\nHKCU:\\Environment\\XBoxD5\r\nHKCU:\\Environment\\XBoxD6\r\nHKCU:\\Environment\\XBoxD7\r\nHKCU:\\Environment\\XBoxD8\r\nHKCU:\\Environment\\XBoxD9\r\nHKCU:\\Environment\\XBoxD10\r\nHKCU:\\Environment\\XBoxD11\r\nHKCU:\\Environment\\XBoxD12\r\nHKCU:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\XBoxCache\r\ncmd /c start /min \"\" powershell -windowStyle hidden -c(powershell -windowStyle hidden -enC $env:XBoxD\r\nГрафічні зображення\r\nРис.1 Приклад ланцюга ураження\r\nhttps://cert.gov.ua/article/6278620\r\nPage 2 of 3\n\nSource: https://cert.gov.ua/article/6278620\r\nhttps://cert.gov.ua/article/6278620\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://cert.gov.ua/article/6278620"
	],
	"report_names": [
		"6278620"
	],
	"threat_actors": [],
	"ts_created_at": 1775434356,
	"ts_updated_at": 1775826680,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/a2fb44c8490171fba67bf2b31ae18109a3deac29.pdf",
		"text": "https://archive.orkl.eu/a2fb44c8490171fba67bf2b31ae18109a3deac29.txt",
		"img": "https://archive.orkl.eu/a2fb44c8490171fba67bf2b31ae18109a3deac29.jpg"
	}
}