{
	"id": "40d59051-97d4-4e8d-8c06-d7a7d8664915",
	"created_at": "2026-04-06T00:16:11.41505Z",
	"updated_at": "2026-04-10T13:12:32.336585Z",
	"deleted_at": null,
	"sha1_hash": "d58565ae7773721281b6b209ae5bd9b74f5db2b5",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2648923,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 15:41:21 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено XLS-документи \"PerekazF173_04072023.xls\" та \"Rahunok_05072023.xls\", що містять як легітимний макрос, так і\r\nмакрос, який здійснить декодування, забезпечення персистентності та запуск шкідливої програми\r\nPicassoLoader.\r\nПри цьому, окремо реалізовано перевірку встановленого засобу захисту: у випадку, якщо на ЕОМ виявлено\r\nпродукти Avast, FireEye, Fortinet (назви процесів: \"AvastUI.exe\", \"AvastSvc.exe\", \"xagt.exe\", \"fcappdb.exe\",\r\n\"FortiWF.exe\") шкідливу програму створено не буде.\r\nНа момент дослідження PicassoLoader забезпечував завантаження, дешифрування (AES) та запуск\r\nшкідливої програми njRAT.\r\nАктивність здійснюється угрупуванням UAC-0057.\r\nПринагідно інформуємо, що \"GhostWriter\" є назвою інформаційної операції, що була проведена\r\nугрупуванням UNC1151 (UAC-0057) про яку публічно інформувала компанія Mandiant у 2020 році [1].\r\nПроте, для спрощення сприйняття в інформаційних повідомленнях CERT-UA назва \"GhostWriter\" може\r\nототожнюватися із назвою/ідентифікатором загрози UAC-0057.\r\nІндикатори кіберзагроз\r\nФайли:\r\n6e6c39f498d0231417f6fa75e27b3008 4da99f963c26bcc4537ba0437c9cc1445be8bea64067d34308dda6c2e49c8c65\r\n6857da89a25728b066dcf7f47d25455b 0f3bdbc64446555c6ff611b02f2e64250fcaf39b78237ae4cca7c74d94731b32\r\nf09420169a24a54eff0fc35cd15d68bc 7893965d1861c712b751bc2d5fb53a34ec0d276bcf389b7fc574728940575152\r\n4e23e56fb247e92980331ca23a1b7300 6dd40ea5e53754a7160801aa5e378089c7dcd9b76429c2536d115c022e3484e8\r\nc0dc96834b07ec32bc67d3bce7b60a28 3b7702a3c2434f8677dddcd44b8ab09bd23129df98ce76929d5731d156398c32\r\n5bf951438305f16e42f6a85b81d6c5d7 b27ec1a0d4e122765abbecc5e66742f4ed546adfda208b4320fbf277d37a38f5\r\n192e12e92dd0fe7a838e104eb65665ef 97894351c3c0728f3c2c740b0ea60af7bd9db955f2d3dc1a97668227956c89f3\r\n552d020c3c090c7b297a8f23f7c48648 4d9cca1d75d4691e794dfe9efb9eef6e9e64b4e978ad17831b459d4bb6722829\r\n6857da89a25728b066dcf7f47d25455b 0f3bdbc64446555c6ff611b02f2e64250fcaf39b78237ae4cca7c74d94731b32\r\nf09420169a24a54eff0fc35cd15d68bc 7893965d1861c712b751bc2d5fb53a34ec0d276bcf389b7fc574728940575152\r\na85c94825f1420dd15cd80851e89efb1 5061bf0d671aacb5fc8e89918c6e5dc5e0b8cb14020422ca73ca5941a7f34b98\r\n4d8bc51e52067f4b983e4f60d5618a15 7f89ec40687564ad7bae34c3f9cddcea28624b3ecf4807e3cef9911d850aecf8\r\n1d3f26e8b8f0a145d752bc089e5904e5 32cf2acd3300d5c0cf7aadc70f07d137d705f379e35510e25018578e3ee40f42\r\nd43e0c177c7de3d311706609fecdabb8 1de7d03db87618e20b85c4e30e040168f26e4a0bdc98943736ef9a2c5f648e23\r\nhttps://cert.gov.ua/article/5098518\r\nPage 1 of 3\n\n4f173e82336aec538124bc1f6a8435b2 52fe07167694935a5a6441c1e6de73b08f786f736057034de766a7fa3866e576\r\nf09420169a24a54eff0fc35cd15d68bc 7893965d1861c712b751bc2d5fb53a34ec0d276bcf389b7fc574728940575152\r\nХостові:\r\n%APPDATA%\\Microsoft\\Windows\\Start Menu\\ADhk GKs h09k.lnk\r\n%APPDATA%\\Microsoft\\Windows\\Start Menu\\Ganmk2 Gk3o ADk30.lnk\r\n%LOCALAPPDATA%\\VibErpEnDINgUpDaTe\\sgsdgkjsgkljsegseuigh38g.dll\r\n%LOCALAPPDATA%\\WhatsAppPendingUpdate\\gk40jklkgt3w094gh.dll\r\n%WINDIR%\\System32\\rundll32.exe %LOCALAPPDATA%\\WhatsAppPendingUpdate\\gk40jklkgt3w094gh.dll,IETrackingP\r\n%WINDIR%\\System32\\rundll32.exe %LOCALAPPDATA%\\viberpendingupdate\\sgsdgkjsgkljsegseuigh38g.dll,IETrack\r\nRunDLL32.EXE shell32.dll,ShellExec_RunDLL \"%APPDATA%\\Microsoft\\Windows\\Start Menu\\ADhk GKs h09k.lnk\"\r\nRunDLL32.EXE shell32.dll,ShellExec_RunDLL \"%APPDATA%\\Microsoft\\Windows\\Start Menu\\Ganmk2 Gk3o ADk30.l\r\nМережеві:\r\n(tcp)://everything-everywhere.at.ply[.]gg:50709\r\nhXXps://carpetmarker[.]pw/images/carpet_shop_3b09adf.jpg\r\nMozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.78.109.74\r\ncarpetmarker[.]pw\r\neverything-everywhere.at.ply[.]gg\r\nГрафічні зображення\r\nПосилання\r\n[1] https://www.mandiant.com/resources/blog/ghostwriter-influence-campaign\r\nhttps://cert.gov.ua/article/5098518\r\nPage 2 of 3\n\nSource: https://cert.gov.ua/article/5098518\r\nhttps://cert.gov.ua/article/5098518\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"MISPGALAXY",
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://cert.gov.ua/article/5098518"
	],
	"report_names": [
		"5098518"
	],
	"threat_actors": [
		{
			"id": "f29188d8-2750-4099-9199-09a516c58314",
			"created_at": "2025-08-07T02:03:25.068489Z",
			"updated_at": "2026-04-10T02:00:03.827361Z",
			"deleted_at": null,
			"main_name": "MOONSCAPE",
			"aliases": [
				"TA445 ",
				"UAC-0051 ",
				"UNC1151 "
			],
			"source_name": "Secureworks:MOONSCAPE",
			"tools": [],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "119c8bea-816e-4799-942b-ff375026671e",
			"created_at": "2022-10-25T16:07:23.957309Z",
			"updated_at": "2026-04-10T02:00:04.807212Z",
			"deleted_at": null,
			"main_name": "Operation Ghostwriter",
			"aliases": [
				"DEV-0257",
				"Operation Asylum Ambuscade",
				"PUSHCHA",
				"Storm-0257",
				"TA445",
				"UAC-0051",
				"UAC-0057",
				"UNC1151",
				"White Lynx"
			],
			"source_name": "ETDA:Operation Ghostwriter",
			"tools": [
				"Agentemis",
				"Cobalt Strike",
				"CobaltStrike",
				"HALFSHELL",
				"Impacket",
				"RADIOSTAR",
				"VIDEOKILLER",
				"cobeacon"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "8a33d3ac-14ba-441c-92c1-39975e9e1a73",
			"created_at": "2023-01-06T13:46:39.195689Z",
			"updated_at": "2026-04-10T02:00:03.243054Z",
			"deleted_at": null,
			"main_name": "Ghostwriter",
			"aliases": [
				"UAC-0057",
				"UNC1151",
				"TA445",
				"PUSHCHA",
				"Storm-0257",
				"DEV-0257"
			],
			"source_name": "MISPGALAXY:Ghostwriter",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434571,
	"ts_updated_at": 1775826752,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/d58565ae7773721281b6b209ae5bd9b74f5db2b5.pdf",
		"text": "https://archive.orkl.eu/d58565ae7773721281b6b209ae5bd9b74f5db2b5.txt",
		"img": "https://archive.orkl.eu/d58565ae7773721281b6b209ae5bd9b74f5db2b5.jpg"
	}
}