{
	"id": "2e4bad5b-22f0-4ad1-92e3-3a3e643be868",
	"created_at": "2026-04-06T01:32:18.78958Z",
	"updated_at": "2026-04-10T03:20:06.098921Z",
	"deleted_at": null,
	"sha1_hash": "c8992f727057f3b9dcd6938e6c5d7d2ee9b05e22",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1206940,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-06 00:07:50 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA отримано\r\nінформацію щодо здійснення цільових кібератак у відношенні державних службовців, військових,\r\nпредставників оборонних підприємств України з використанням шкідливої програми DarkCrystal RAT, яка\r\nрозповсюджується засобами месенджеру Signal. При цьому, характерною ознакою є той факт, що\r\nвідправником може бути людина зі списку контактів і/або спільних груп, що, за задумом, повинно\r\nпідвищити рівень довіри до таких повідомлень.\r\nЗловмисниками надсилається архів, пароль, а також повідомлення щодо необхідності відкриття файлу\r\nсаме на комп'ютері.\r\nЯк правило згаданий архів містить виконуваний файл (розширення: \".pif\", \".exe\"), який є RARSFX-архівом, в якому, у свою чергу, знаходиться VBE-файл, BAT-файл, та EXE-файл, запуск якого призведе до\r\nураження комп'ютера шкідливою програмою DarkCrystal RAT, що створить технічну можливість\r\nприхованого несанкціонованого доступу до ЕОМ.\r\nВкотре відмічаємо тенденцію до підвищення інтенсивності кібератак з використанням месенджерів та\r\nлегітимних скомпрометованих облікових записів. При цьому, так чи інакше, жертву спонукають до\r\nвідкриття файлу на компʼютері - слід врахувати як окрему пересторогу.\r\nПринагідно наголошуємо на важливості налаштування багато факторної автентифікації\r\nhttps://cert.gov.ua/article/6278274.\r\nУ випадку виявлення підозрілих повідомлень, файлів, посилань просимо невідкладно інформувати CERT-UA.\r\nЗгадана активність відстежується за ідентифікатором UAC-0200.\r\nІндикатори кіберзагроз\r\nФайли:\r\n6903635dc38959f87bbc9aeee3f3555a  d0d6c1f07382ca03866fc3ca198efa8e4a777ecd7ccdc517a4b6ddb7d2d1245e\r\n2e7ef5d68ad7e8df8d621f624127aa14  f26ec43245406c30cc5efb7ad6d8e9018117919c4a03cec2972520e526db3b0c\r\na64b994390f907703c40d81ec892a5a0  f59e4490a26c421b7d01d05193de927c773b9cbd6cbd91903b422a903ec301a1\r\n6e5a822f6c57d00caaa175b13c05f33d  224e71eea37f1353ea8ee0fef0a513d7f0577dcec3241d6710ad249715a269c7\r\n8b64442e76a6bc0db99e74a95964d3e0  a7f896b2a2433fd178afffba59ace1c27ec4b4fa20ecc59ee7da7c96314c6b09\r\n5a7b9f20b7990c54a716ebcd43960123  1418111224c143fba191efa1fe1a1c4a653b951e4bb07f6fd0b7782631571b93\r\n47aa8d5d45c05c05be3941e43009a5ec  ef6cd2c75b3370d1bcc95beb573ad09861e0ed22b2becc1c16cfff88dae5a157\r\n27e9287a7ac9ca4d8f2ebd7751756594  3ad5473cee7a16bddce171e42b2dbb42caf1bdfbf8f2ef280d956a9940500520\r\nhttps://cert.gov.ua/article/6279561\r\nPage 1 of 2\n\n94124f22d7aa29ab91d40d4f207e1887\r\n8cc204cdd79c811b2d48d878f4cbfcc2e4db88bfaa17bf2c13351e338f8547b3\r\nc917930fd0f91e5c038c8b06719efca46bdd44d7b55d47ebd1a00fec6cfda0506efbacbe05022dada9c9dccb5d60909f\r\n52c52b15629514b8527892644e7ea818  b60ac68e278045aadb9ec3196327a90efebf8b48bbe7819c6bf0f5a4678efd62\r\n3bd344b53bd70e1e77f42bf40c22dfb1  02d657729837838d18bbe6b4bae44cab0e6d3a357836d7cd6a9bb7288543facb\r\nМережеві:\r\n188[.]245.50.32\r\nhXXp://188[.]245.50.32/VideocentralLocal/PublicdownloadsWp/python4RequestRequest/Javascript8Geovoiddb\r\nХостові:\r\nC:\\SavesperfCrtMonitor\\agentWinintoHostDhcp.exe\r\nC:\\SavesperfCrtMonitor\\du5a30GGdpnw9V1NAPFxiabLpStvK7yQccZnAiiXNdT4B.bat\r\nC:\\WinSavesbrokerdhcpcommon\\0WgIlnTNpgbtjiE2xGB5FgwFA.bat\r\nC:\\WinSavesbrokerdhcpcommon\\bridgeSurrogatewin.exe\r\nГрафічні зображення\r\nРис.1 Приклад ланцюга ураження\r\nSource: https://cert.gov.ua/article/6279561\r\nhttps://cert.gov.ua/article/6279561\r\nPage 2 of 2",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/6279561"
	],
	"report_names": [
		"6279561"
	],
	"threat_actors": [],
	"ts_created_at": 1775439138,
	"ts_updated_at": 1775791206,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/c8992f727057f3b9dcd6938e6c5d7d2ee9b05e22.pdf",
		"text": "https://archive.orkl.eu/c8992f727057f3b9dcd6938e6c5d7d2ee9b05e22.txt",
		"img": "https://archive.orkl.eu/c8992f727057f3b9dcd6938e6c5d7d2ee9b05e22.jpg"
	}
}