{ "id": "77b753ad-764d-446e-ab03-ae3ec90a5473", "created_at": "2026-04-06T00:14:19.84387Z", "updated_at": "2026-04-10T03:37:04.119095Z", "deleted_at": null, "sha1_hash": "d72ea8b7aca062f5f2177009e150eb42b74ae2fc", "title": "CERT-UA", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 2182674, "plain_text": "CERT-UA\r\nArchived: 2026-04-05 19:03:35 UTC\r\nЗагальна інформація \r\nУрядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA від суб’єкту\r\nкоординації (Кіберцентр Державної прикордонної служби України) отримано інформацію щодо\r\nрозповсюдження, начебто, від імені ДП «Адміністрація морських портів України», електронних поштових\r\nповідомлень із вкладенням у вигляді RAR-архіву «порти АРК.rar». \r\nЗгаданий RAR-архів містить шкідливі DOCX-документи «Щодо заходження суден під іноземним\r\nпрапором в порти АР Крим на 27.01.2022.docx» і «Щодо заходження суден під державним прапором в\r\nпорти АР Крим на 27.01.2022.docx», кожен з яких, у свою чергу, містить вбудовану URL-адресу. \r\nУ разі відкриття документів буде завантажено і відкрито DOC-файл з макросом. Останній забезпечить\r\nвиконання шкідливого VBA-коду, що призведе до ураження комп’ютера шкідливою програмою\r\nGammaLoad. \r\nАтаку асоційовано з діяльністю групи Armageddon (відслідковується CERT-UA за ідентифікатором UAC-0010).  \r\nІндикатори компрометації \r\nФайли: \r\n9fe8203b06c899d15cb20d2497103dbb порти АРК.rar\r\n178b0739ac2668910277cbf13f6386e8 Щодо заходження суден під державним прапором в порти\r\nfd4de6bb19fac13487ea72d938999fbd Щодо заходження суден під іноземним прапором в порти\r\n8644a34af1bf278d4cbe28022f77fd69 derg.gif\r\nМережеві: \r\nhxxp://surname192.temp.swtest[.]ru/prapor/su/derg.gif\r\nhxxp://surname192.temp.swtest[.]ru/prapor/su/ino.gif\r\nhxxp://\u003cIP-адреса\u003e/concession.mot\r\nsurname192.temp.swtest[.]ru\r\ncoagula[.]online\r\ntortunas[.]ru\r\nphymateus[.]online\r\nstopcovid@email[.]cz\r\nХостові: \r\nhttps://cert.gov.ua/article/18365\r\nPage 1 of 3\n\n%USERPROFILE%\\Downloads\\\u003cназва_файлу\u003e.exe\r\nДодаткова інформація \r\nGammaLoad – шкідлива програма, розроблена з використанням мови програмування VB Script; основний\r\nфункціонал – ідентифікація комп’ютера (визначення %COMPUTERNAME% і %SYSTEMDRIVE%) і\r\nподальше завантаження та запуск додаткових шкідливих програм. Персистентність забезпечується за\r\nдопомогою запланованого завдання (Scheduled Task). \r\nГрафічні зображення \r\nРис. 1 Приклад шкідливого електронного листа та вбудованої URL-адреси \r\nhttps://cert.gov.ua/article/18365\r\nPage 2 of 3\n\nРис. 2 Приклад програмного коду шкідливої програми GammaLoad \r\nSource: https://cert.gov.ua/article/18365\r\nhttps://cert.gov.ua/article/18365\r\nPage 3 of 3", "extraction_quality": 1, "language": "UK", "sources": [ "MISPGALAXY", "Malpedia" ], "references": [ "https://cert.gov.ua/article/18365" ], "report_names": [ "18365" ], "threat_actors": [ { "id": "81bd7107-6b2d-45c9-9eea-1843d4b9b308", "created_at": "2022-10-25T15:50:23.320841Z", "updated_at": "2026-04-10T02:00:05.356444Z", "deleted_at": null, "main_name": "Gamaredon Group", "aliases": [ "Gamaredon Group", "IRON TILDEN", "Primitive Bear", "ACTINIUM", "Armageddon", "Shuckworm", "DEV-0157", "Aqua Blizzard" ], "source_name": "MITRE:Gamaredon Group", "tools": [ "QuietSieve", "Pteranodon", "Remcos", "PowerPunch" ], "source_id": "MITRE", "reports": null }, { "id": "d5156b55-5d7d-4fb2-836f-861d2e868147", "created_at": "2023-01-06T13:46:38.557326Z", "updated_at": "2026-04-10T02:00:03.023048Z", "deleted_at": null, "main_name": "Gamaredon Group", "aliases": [ "ACTINIUM", "DEV-0157", "Blue Otso", "G0047", "IRON TILDEN", "PRIMITIVE BEAR", "Shuckworm", "UAC-0010", "BlueAlpha", "Trident Ursa", "Winterflounder", "Aqua Blizzard", "Actinium" ], "source_name": "MISPGALAXY:Gamaredon Group", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "61940e18-8f90-4ecc-bc06-416c54bc60f9", "created_at": "2022-10-25T16:07:23.659529Z", "updated_at": "2026-04-10T02:00:04.703976Z", "deleted_at": null, "main_name": "Gamaredon Group", "aliases": [ "Actinium", "Aqua Blizzard", "Armageddon", "Blue Otso", "BlueAlpha", "Callisto", "DEV-0157", "G0047", "Iron Tilden", "Operation STEADY#URSA", "Primitive Bear", "SectorC08", "Shuckworm", "Trident Ursa", "UAC-0010", "UNC530", "Winterflounder" ], "source_name": "ETDA:Gamaredon Group", "tools": [ "Aversome infector", "BoneSpy", "DessertDown", "DilongTrash", "DinoTrain", "EvilGnome", "FRAUDROP", "Gamaredon", "GammaDrop", "GammaLoad", "GammaSteel", "Gussdoor", "ObfuBerry", "ObfuMerry", "PlainGnome", "PowerPunch", "Pteranodon", "Pterodo", "QuietSieve", "Remcos", "RemcosRAT", "Remote Manipulator System", "Remvio", "Resetter", "RuRAT", "SUBTLE-PAWS", "Socmer", "UltraVNC" ], "source_id": "ETDA", "reports": null }, { "id": "236a8303-bf12-4787-b6d0-549b44271a19", "created_at": "2024-06-04T02:03:07.966137Z", "updated_at": "2026-04-10T02:00:03.706923Z", "deleted_at": null, "main_name": "IRON TILDEN", "aliases": [ "ACTINIUM ", "Aqua Blizzard ", "Armageddon", "Blue Otso ", "BlueAlpha ", "Dancing Salome ", "Gamaredon", "Gamaredon Group", "Hive0051 ", "Primitive Bear ", "Shuckworm ", "Trident Ursa ", "UAC-0010 ", "UNC530 ", "WinterFlounder " ], "source_name": "Secureworks:IRON TILDEN", "tools": [ "Pterodo" ], "source_id": "Secureworks", "reports": null } ], "ts_created_at": 1775434459, "ts_updated_at": 1775792224, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/d72ea8b7aca062f5f2177009e150eb42b74ae2fc.pdf", "text": "https://archive.orkl.eu/d72ea8b7aca062f5f2177009e150eb42b74ae2fc.txt", "img": "https://archive.orkl.eu/d72ea8b7aca062f5f2177009e150eb42b74ae2fc.jpg" } }