{
	"id": "414cf177-0e2a-411d-9906-8807188da17a",
	"created_at": "2026-04-06T00:12:07.49125Z",
	"updated_at": "2026-04-10T13:11:42.028869Z",
	"deleted_at": null,
	"sha1_hash": "b0f08daaee90d6429eef4c3c895765139b992716",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1515322,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 18:45:00 UTC\r\nОновлено 22.12.2022\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA 17.12.2022 від\r\nЦентру інновацій та розвитку оборонних технологій Міністерства оборони України отримано інформацію\r\nщодо розповсюдження засобами електронної пошти (з використанням скомпрометованої електронної\r\nадреси одного зі співробітників оборонного відомства), а також, мессенджерів, повідомлення щодо\r\nнеобхідності оновлення сертифікатів в системі \"DELTA\". При цьому, вкладення у вигляді PDF-документів\r\nімітують легітимні дайджести підрозділу ISTAR ОУВ \"Запоріжжя\", але містять посилання на шкідливий\r\nZIP-архів.\r\nУ разі переходу за посиланням на комп'ютер буде завантажено архів \"certificates_rootca.zip\", що містить\r\nвиконуваний файл \"certificates_rootCA.exe\", захищений за допомогою VMProtect (файл скомпільовано та\r\nпідписано цифровим підписом 15.12.2022).\r\nПісля запуску EXE-файлу на ЕОМ буде створено декілька DLL-файлів, також захищених VMProtect, і\r\nфайл \"ais.exe\", що імітує процес встановлення сертифікату. В подальшому, на комп'ютері жертви буде\r\nздійснено запуск шкідливої програми RomCom (реєструється як COM-сервер замість oleaut32.dll), яка, у\r\nсвою чергу, забезпечить виконання двох шкідливих програм: FateGrab (\"FileInfo.dll\"; \"ftp_file_graber.dll\"),\r\nфункціонал якого передбачає викрадення файлів з розширеннями: '.txt', '.rtf', '.xls', '.xlsx', '.ods', '.cmd', '.pdf',\r\n'.vbs', '.ps1', '.one', '.kdb', '.kdbx', '.doc', '.docx', '.odt', '.eml', '.msg', '.email' з їх подальшою ексфільтрацією за\r\nдопомогою FTP, та StealDeal (\"procsys.dll\"; \"StealDll.dll\"), призначений, серед іншого, для отримання та\r\nзбереження даних Інтернет-браузерів у відповідні файли, що потім будуть ексфільтровані за допомогою\r\nRomCom з використанням протоколу HTTPS.\r\nАктивність відстежується за ідентифікатором UAC-0142, проте має схожості з кластером загроз UAC-0132\r\n(CERT-UA#5509).\r\nІндикатори компрометації\r\nФайли:\r\nd42e12a973be47c6ddd0b4a7c3a36536  60a7f038cad5086b85f0be169f478a6b06f59785c2138fc64c8fdce88f049968\r\n4ca23d887f85206d926c1caab0b7ddb3  f671f9c7b8d6b2553db8c563d269aa52d573857f34d58b7a9539e9d8aea9f3d5\r\n4e43623f2e9a31e39b62bc002b2223e9  a1a8e73ff09d5b55a6156e68c56b5cbf80cc4b9957f02e6c52136654956e334d\r\n3ddcd818f1e39467214c5b7153e2a3a0  5d3cf96ee5e42e8f3d6548dd4fcf804ef5d5844220157ae9242cadf60a3afbac\r\n8a54222486372f92323b9e4279e9e9c2  1c722ba09cdfb91fa6420b09f47aa15aaf7346d30f3974940d3bc73cdc84783f\r\n46cf25a8f1c22910cbc74a4b808fb926  6330248e2933a7ebdc873d05d7775f039a55b794eebdda78ca0902b110a54c31\r\nef802adb77dd0d0b8277994e720db2ca  eadb75944134da5434174981bf295eed40d9b2404df8e6dbf12962b2e5075fa3\r\nhttps://cert.gov.ua/article/3349703\r\nPage 1 of 3\n\n13942c7497a15176b39cac1ac7aa79df\r\n03645ad472c8cce66b6089fb8f98bcd9027ca8ab2e01d404af09276efb84703f\r\ne82f2226b6432fa41e15208c6f53e4ac4122f8a6e211a8f1064ef793022ce94f64542b9eb643927a4a7beae643eee06b\r\nbf39ee86518f69a54f004fe734e22e3c  71dae65285224050c609c8c498160df604c6a00afa34dded6aea99ed843a21c3\r\n900d06af063b2cda241d04da62fa1662  6850e8c4d3d774dfac1c5e09df3a9acc6d97b7afb66c8417ad80b5632f9e936d\r\n6f3ca264e301ea5b68a61ffe2051e946  14765706b2de10b6f9a90268c7690222d2ea5155c9fa24317b86e6c0231d913e\r\nХостові:\r\nGreat C Technologies Inc\r\n0B 59 BB 29 99 06 6C A6 B0 A2 81 C1 B3 55 B9 9A\r\nC:\\Users\\Public\\Libraries\\FileInfo.dll\r\nC:\\Users\\Public\\Libraries\\BrowserData\\procsys.dll\r\nC:\\Users\\Public\\Libraries\\BrowserData\\Result\\\r\nC:\\Users\\Public\\Libraries\\BrowserData\\Result\\LoginData.csv\r\nC:\\Users\\Public\\Libraries\\BrowserData\\Result\\Mozilla Firefox@%USERNAME%@Cookies.csv\r\nC:\\Users\\Public\\Libraries\\BrowserData\\Result\\%USERNAME%@Credits.csv\r\nC:\\Users\\Public\\Libraries\\BrowserData\\Result\\%USERNAME%@History.csv\r\n%TMP%\\ais.exe\r\n%TMP%\\temp.cmd\r\n%TMP%\\19207187.dll (ім'я файлу динамічне)\r\n%TMP%\\[0-9]+.dll\r\nC:\\Users\\Public\\Libraries19208093.dll (ім'я файлу динамічне)\r\nC:\\Users\\Public\\Libraries[0-9]+.dll\r\nC:\\Users\\Public\\Libraries\\rtmpak1981674535.dll0 (ім'я файлу динамічне)\r\nC:\\Users\\Public\\Libraries\\rtmpak[0-9]+.dll0\r\nrundll32.exe %TMP%\\19207187.dll,MimeSource\r\nrundll32.exe C:\\Users\\Public\\Libraries\\rtmpak2235685807.dll0,fIt\r\nrundll32.exe C:\\Users\\Public\\Libraries\\BrowserData\\procsys.dll,stub\r\nrundll32.exe C:\\Users\\Public\\Libraries\\FileInfo.dll,fSt %FTP_LOGIN%:%FTP_PASSWORD%:%CAMPAIGN_ID%\r\ncmd.exe /c C:\\Users\\Public\\Libraries\\temp.cmd C:\\Users\\Public\\Libraries\\FileInfo.dll\r\ncmd.exe /c %TMP%\\temp.cmd %TMP%\\ais.exe C:\\Users\\%USERNAME%\\Desktop\\certificates_rootCA.exe\r\nnltest /domain_trusts\r\nМережеві:\r\nhxxps://delta.mil.gov.ua.delta-storages[.]com/certificates/update\r\nhxxps://delta.mil.gov.ua.delta-storages[.]com/certificates/windows/certificates_rootca.zip\r\nhxxps://46.249.49[.]109:4444\r\nhxxps://hexactor[.]com:4444\r\nftp://46.249.49[.]109\r\ndelta.mil.gov.ua.delta-storages[.]com\r\ndelta-storages[.]com (2022-12-15; @webnic[.]cc)\r\nhexactor[.]com (2022-11-12; @namesilo[.]com; gor4j3d@proton[.]me)\r\n46.249.49[.]109 (@serverius[.]net)\r\nhttps://cert.gov.ua/article/3349703\r\nPage 2 of 3\n\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/3349703\r\nhttps://cert.gov.ua/article/3349703\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://cert.gov.ua/article/3349703"
	],
	"report_names": [
		"3349703"
	],
	"threat_actors": [
		{
			"id": "555e2cac-931d-4ad4-8eaa-64df6451059d",
			"created_at": "2023-01-06T13:46:39.48103Z",
			"updated_at": "2026-04-10T02:00:03.342729Z",
			"deleted_at": null,
			"main_name": "RomCom",
			"aliases": [
				"UAT-5647",
				"Storm-0978"
			],
			"source_name": "MISPGALAXY:RomCom",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "d58052ba-978b-4775-985a-26ed8e64f98c",
			"created_at": "2023-09-07T02:02:48.069895Z",
			"updated_at": "2026-04-10T02:00:04.946879Z",
			"deleted_at": null,
			"main_name": "Tropical Scorpius",
			"aliases": [
				"DEV-0978",
				"RomCom",
				"Storm-0671",
				"Storm-0978",
				"TA829",
				"Tropical Scorpius",
				"UAC-0180",
				"UNC2596",
				"Void Rabisu"
			],
			"source_name": "ETDA:Tropical Scorpius",
			"tools": [
				"COLDDRAW",
				"Cuba",
				"Industrial Spy",
				"PEAPOD",
				"ROMCOM",
				"ROMCOM RAT",
				"SingleCamper",
				"SnipBot"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "4f56bb34-098d-43f6-a0e8-99616116c3ea",
			"created_at": "2024-06-19T02:03:08.048835Z",
			"updated_at": "2026-04-10T02:00:03.870819Z",
			"deleted_at": null,
			"main_name": "GOLD FLAMINGO",
			"aliases": [
				"REF9019 ",
				"Tropical Scorpius ",
				"UAC-0132 ",
				"UAC0132 ",
				"UNC2596 ",
				"Void Rabisu "
			],
			"source_name": "Secureworks:GOLD FLAMINGO",
			"tools": [
				"Chanitor",
				"Cobalt Strike",
				"Cuba",
				"Meterpreter",
				"Mimikatz",
				"ROMCOM RAT"
			],
			"source_id": "Secureworks",
			"reports": null
		}
	],
	"ts_created_at": 1775434327,
	"ts_updated_at": 1775826702,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/b0f08daaee90d6429eef4c3c895765139b992716.pdf",
		"text": "https://archive.orkl.eu/b0f08daaee90d6429eef4c3c895765139b992716.txt",
		"img": "https://archive.orkl.eu/b0f08daaee90d6429eef4c3c895765139b992716.jpg"
	}
}