{
	"id": "424c51da-9b77-4a9e-a8e6-224abed7968d",
	"created_at": "2026-04-06T00:09:57.501305Z",
	"updated_at": "2026-04-10T03:35:37.703323Z",
	"deleted_at": null,
	"sha1_hash": "b433c8b85f9dcdb77ce749dc53fcd8669e6bf6b5",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 865169,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 20:31:29 UTC\r\nЗагальна інформація \r\nУрядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA від суб’єкту\r\nкоординації отримано інформацію щодо розповсюдження, начебто, від імені Національної поліції України,\r\nелектронних листів, із вкладеннями у вигляді захищених паролем DOCX-документів, наприклад\r\n«Повідомлення про вчинення злочину (Білоус Олексій Сергійович).docx» або «Повідомлення про вчинення\r\nзлочину.docx». \r\nЗгадані документи містять вбудовані об’єкти, активація яких призведе до створення і запуску на\r\nкомп’ютері Javascript-файлу, наприклад «GSU207@POLICE.GOV.UA - Повідомлення (2).js». Останній, за\r\nдопомогою powershell здійснить підключення до сервісу Discord та завантажить і виконає EXE-файл, що\r\nпризведе до ураження комп’ютера жертви шкідливою програмою OutSteel (дата компіляції: 30.01.2022) . \r\nАктивність асоційовано з діяльністю групи UAC-0056.  \r\nІндикатори компрометації \r\nФайли: \r\n4d01975268c215fc26ed79ebd17ec22d Повідомлення про вчинення злочину (Білоус Олексій Сергій\r\n12ed130045b2e731bc66c9261c88efaa GSU207@POLICE.GOV.UA - Повідомлення (2).js\r\n22c1d43016cb2b8b9e5e5e9895526354 Повідомлення про вчинення злочину .docx\r\n0e3c3fe6167485807c4d36a904dfcae1 GSU207@POLICE.GOV.UA - Повідомлення (17).js\r\n259f06fcdb971f606d239b3178110981 putty.exe\r\nccc3750d9270d1e8c95649d91f94033b putty.dmp.exe (OutSteel)\r\n5fa2c64ed3e9944030b6fd9f3d3d7102 puttyjejfrwu.exe\r\n57a10dad336f1a6cb206dca7ddd3fcaf AutoIt.exe (OutSteel)\r\nab2a92e0fc5a6f63336e442f34089f16 1406.exe (SaintBot)\r\naf9a60ea728985f492119ebf713e0716 load4849kd30.exe (SaintBot)\r\n247165c7d96bf443b6a7360a44b7dcfb f0d.exe\r\ncd8915c63f3134425aa7c851f5f1e645 f1d.exe\r\nМережеві: \r\nhxxps://cdn.discordapp[.]com/attachments/932413459872747544/938291977735266344/putty.exe\r\nhxxps://cdn.discordapp[.]com/attachments/932413459872747544/938317934026170408/puttyjejfrwu.exe\r\nhxxp://185.244.41[.]109:8080/upld/\r\nhxxp://eumr[.]site/load74h74830.exe\r\n185.244.41[.]109\r\nhttps://cert.gov.ua/article/18419\r\nPage 1 of 3\n\neumr[.]site\r\nmariaparsons10811@gmail[.]com\r\nХостові: \r\n%PUBLIC%\\GoogleChromeUpdate.exe\r\n%USERPROFILE%\\Documents\\.exe\r\n%TEMP%\\GSU207@POLICE.GOV.UA - Повідомлення (2).js\r\n%TEMP%\\rmm.bat\r\n%TEMP%\\svjhost.exe\r\nПроцеси: \r\n1 powershell.exe \"%USERPROFILE%\\Documents\\.exe\"\r\n11 powershell.exe \"%USERPROFILE%\\Documents\\.exe\"\r\n3 powershell.exe \u003cIP-адреса\u003e:443\r\n22 powershell.exe cdn.discordapp[.]com\r\n1 wscript.exe powershell.exe \"%SYSTEMROOT%\\System32\\WindowsPowerShell\\v1.0\\powershell.exe\" [NeT\r\n1 WINWORD.EXE wscript.exe \"%SYSTEMROOT%\\System32\\WScript.exe\" \"%TEMP%\\GSU207@POLICE.GOV.UA - П\r\nДодаткова інформація \r\nРекомендуємо заблокувати доступ до сервісів в мережі Інтернет, використання яких не є необхідним і/або\r\nможе створювати додаткові ризики (наприклад, Discord).\r\nЗвертаємо увагу на коректність налаштування політик безпеки і засобів захисту комп’ютера, а саме: \r\nзаборонити процесам програм MS Office (зокрема, WINWORD.EXE) запускати потенційно\r\nнебезпечні програми, в даному випадку – wscript.exe (Sysmon EventID: 1); \r\nконтролювати мережеві з’єднання (Sysmon EventID: 3,22) потенційно небезпечних програм\r\n(powershell.exe тощо) \r\n Графічні зображення \r\nhttps://cert.gov.ua/article/18419\r\nPage 2 of 3\n\nРис. 1 Приклад електронного листа та шкідливого документу \r\nSource: https://cert.gov.ua/article/18419\r\nhttps://cert.gov.ua/article/18419\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/18419"
	],
	"report_names": [
		"18419"
	],
	"threat_actors": [
		{
			"id": "eecf54a2-2deb-41e5-9857-fed94a53f858",
			"created_at": "2023-01-06T13:46:39.349959Z",
			"updated_at": "2026-04-10T02:00:03.296196Z",
			"deleted_at": null,
			"main_name": "SaintBear",
			"aliases": [
				"Bleeding Bear",
				"Cadet Blizzard",
				"Nascent Ursa",
				"Nodaria",
				"Storm-0587",
				"DEV-0587",
				"Saint Bear",
				"EMBER BEAR",
				"UNC2589",
				"TA471",
				"UAC-0056",
				"FROZENVISTA",
				"Lorec53",
				"Lorec Bear"
			],
			"source_name": "MISPGALAXY:SaintBear",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "c28760b2-5ec6-42ad-852f-be00372a7ce4",
			"created_at": "2022-10-27T08:27:13.172734Z",
			"updated_at": "2026-04-10T02:00:05.279557Z",
			"deleted_at": null,
			"main_name": "Ember Bear",
			"aliases": [
				"Ember Bear",
				"UNC2589",
				"Bleeding Bear",
				"DEV-0586",
				"Cadet Blizzard",
				"Frozenvista",
				"UAC-0056"
			],
			"source_name": "MITRE:Ember Bear",
			"tools": [
				"P.A.S. Webshell",
				"CrackMapExec",
				"ngrok",
				"reGeorg",
				"WhisperGate",
				"Saint Bot",
				"PsExec",
				"Rclone",
				"Impacket"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "03a6f362-cbab-4ce9-925d-306b8c937bf1",
			"created_at": "2024-11-01T02:00:52.635907Z",
			"updated_at": "2026-04-10T02:00:05.339384Z",
			"deleted_at": null,
			"main_name": "Saint Bear",
			"aliases": [
				"Saint Bear",
				"Storm-0587",
				"TA471",
				"UAC-0056",
				"Lorec53"
			],
			"source_name": "MITRE:Saint Bear",
			"tools": [
				"OutSteel",
				"Saint Bot"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "083d63b2-3eee-42a8-b1bd-54e657a229e8",
			"created_at": "2022-10-25T16:07:24.143338Z",
			"updated_at": "2026-04-10T02:00:04.879634Z",
			"deleted_at": null,
			"main_name": "SaintBear",
			"aliases": [
				"Ember Bear",
				"FROZENVISTA",
				"G1003",
				"Lorec53",
				"Nascent Ursa",
				"Nodaria",
				"SaintBear",
				"Storm-0587",
				"TA471",
				"UAC-0056",
				"UNC2589"
			],
			"source_name": "ETDA:SaintBear",
			"tools": [
				"Agentemis",
				"Cobalt Strike",
				"CobaltStrike",
				"Elephant Client",
				"Elephant Implant",
				"GraphSteel",
				"Graphiron",
				"GrimPlant",
				"OutSteel",
				"Saint Bot",
				"SaintBot",
				"cobeacon"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434197,
	"ts_updated_at": 1775792137,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/b433c8b85f9dcdb77ce749dc53fcd8669e6bf6b5.pdf",
		"text": "https://archive.orkl.eu/b433c8b85f9dcdb77ce749dc53fcd8669e6bf6b5.txt",
		"img": "https://archive.orkl.eu/b433c8b85f9dcdb77ce749dc53fcd8669e6bf6b5.jpg"
	}
}