{
	"id": "dea4d806-30c3-4114-820e-40ca130a7383",
	"created_at": "2026-04-06T00:22:15.746218Z",
	"updated_at": "2026-04-10T03:21:47.842033Z",
	"deleted_at": null,
	"sha1_hash": "e28f1fefabd5d8aa81dc4a73307967fe91eac886",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 548639,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 21:03:10 UTC\r\nЗАГАЛЬНА ІНФОРМАЦІЯ\r\nУ ніч з 13 на 14 січня 2022 року здійснено втручання в роботу вебсайтів низки державних організацій, в\r\nрезультаті чого при відвідуванні інформаційних ресурсів користувачеві відображалось зображення\r\nпровокативного змісту.\r\nУ деяких випадках з метою порушення штатного режиму функціонування інформаційно-телекомунікаційних (автоматизованих) систем на завершальному етапі кібератаки зловмисниками було\r\nздійснено шифрування або видалення даних. Для цього застосовано щонайменше два різновиди\r\nшкідливих програм деструктивного характеру, а саме: BootPatch (запис шкідливого коду в MBR жорсткого\r\nдиску з метою його незворотної модифікації) і WhisperKill (перезапис файлів за визначеним переліком\r\nрозширень послідовністю байт 0xCC довжиною 1МБ), або видалення даних здійснювалося шляхом\r\nручного видалення віртуальних машин.\r\nНайбільш вірогідним вектором реалізації кібератаки є компрометація ланцюга постачальників (supply\r\nchain), що дозволило використати наявні довірчі зв’язки для виведення з ладу пов’язаних інформаційно-телекомунікаційних та автоматизованих систем. Водночас не відкидаються ще два можливих вектори\r\nатаки, а саме – експлуатація вразливостей OctoberCMS та Log4j.\r\nУрядова команда реагування на комп’ютерні надзвичайні події України CERT-UA вжила заходів зі збору\r\nцифрових доказів, вивчення зразків шкідливих програм і проведення комп’ютерно-технічних досліджень,\r\nв тому числі – відновлення інформації після її навмисного знищення. Наразі триває аналіз даних та\r\nдослідження обставин кіберінцидентів.\r\nЗа наявними даними, згадана кібератака планувалася заздалегідь і проводилася у кілька етапів, в т. ч. із\r\nзастосуванням елементів провокації.\r\nТЕХНІЧНА ІНФОРМАЦІЯ\r\nПорушення цілісності вебсайтів (дефейс).\r\nЗастосована зловмисниками атака має тип “дефейс” (від англ. deface – спотворювати, перекручувати), за\r\nякої головна сторінка вебсайту замінюється на іншу, а доступ до всього іншого сайту блокується або ж\r\nколишній вміст сайту видаляється.\r\nВиявлено два типи атаки дефейс:\r\nповна заміна головної сторінки;\r\nу код вебсайту додано скрипт, що здійснює заміну контенту.\r\nhttps://cert.gov.ua/article/18101\r\nPage 1 of 7\n\nЗ метою модифікації вмісту вебсторінок зловмисники зранку 14.01.2022 з мережі TOR отримали доступ до\r\nпанелей керування вебсайтів низки організацій. При цьому ознаки підбору автентифікаційних даних\r\nвідсутні. \r\nРис. 1 Приклад дефейсу вебсайту\r\nПід час дослідження скомпрометованих систем було виявлено підозрілу активність із використанням\r\nлегітимних облікових записів. Приклад файлу історії з переліком виконаних несанкціонованих дій (а саме\r\n– створення користувача, додавання його до привілейованої групи та завантаження файлу із зображенням\r\nдефейсу) наведено на Рис.2.\r\nhttps://cert.gov.ua/article/18101\r\nPage 2 of 7\n\nРис. 2 Приклад вмісту .bash_history\r\nДодаткове вивчення виявленої IP-адреси дозволило ідентифікувати копію вебкаталогу станом на\r\n14.01.2022, з якого, вірогідно, здійснювалося завантаження інших файлів, які стосувалися кібератаки (Рис.\r\n3).\r\nРис. 3. Вміст вебкаталогу на сервері 179.43.176[.]38 станом на 14.01.2022\r\nУ межах пошуку схожих подій Оперативним центром реагування на кіберінциденти та кібератаки (SOC)\r\nДержавного центру кіберзахисту виявлена додаткова IP-адресу 179.43.176[.]42, що стосувалася аналогічної\r\nактивності у двох інших постраждалих організаціях (Рис. 4).\r\nhttps://cert.gov.ua/article/18101\r\nPage 3 of 7\n\nРис. 4. Завантаження файлу index.php вночі 14.01.2022.\r\nВиведення з ладу електронних обчислювальних машин.\r\nШкідлива програма BootPatch (MD5: 5d5c99a08a7d927346ca2dafa7973fc1; дата компіляції: 2022-01-10\r\n10:37:18).\r\nBootPatch – шкідлива програма, розроблена з використанням мови програмування C. Виконує запис\r\nшкідливого програмного коду в MBR жорсткого диску. Шкідливий програмний код забезпечує\r\nвідображення повідомлення про викуп та спотворює дані, перезаписуючи кожен 199 сектор жорсткого\r\nдиску відповідним повідомленням. Приклад модифікованого MBR наведено на Рис. 5.\r\nРис. 5. MBR жорсткого диску, модифікований шкідливою програмою BootPatch\r\nІмовірно, що запуск шкідливої програми на ЕОМ у локальних обчислювальних мережах жертв реалізовано\r\nза допомогою інструменту Impacket, а саме: wmiexec і/або smbexec. Приклади записів із журнальних\r\nhttps://cert.gov.ua/article/18101\r\nPage 4 of 7\n\nфайлів Sysmon, що можуть свідчити про згадану активність, наведено на Рис. 6.\r\nРис. 6. Приклади записів із журналу Sysmon.\r\nШкідлива програма WhisperKill (MD5: 3907c7fbd4148395284d8e6e3c1dba5d; дата компіляції: 2022-01-10\r\n08:14:38).\r\nWhisperKill – шкідлива програма, розроблена з використанням мови програмування C. Виконує перезапис\r\nфайлів за визначеним переліком розширень послідовністю байт 0xCC довжиною 1МБ. Після запуску\r\nсамовидаляється. Для доставки використовується .NET-даунлоадер WhisperGate, що є програмою\r\nширокого вжитку (т. зв. commodity malware) і який завантажує з cdn.discorapp[.]com та декодує іншу .NET-програму-лаунчер WhisperPack. Останній захищено за допомогою Eazfuscator; він також містить легітимну\r\nутиліту AdvancedRun.exe (NirSoft), що використовується для відключення Windows Defender, і VBS-скрипт, який додає шлях «С:\\» у винятки.\r\nПриклад розширень файлів наведено на Рис. 7.\r\nhttps://cert.gov.ua/article/18101\r\nPage 5 of 7\n\nРис. 7. Перелік розширень файлів, які перезаписує WhisperKill\r\nРЕКОМЕНДАЦІЇ\r\nПереглянути порядок підключення співробітників і/або обладнання компаній-постачальників до\r\nкорпоративних мереж, виходячи з принципу мінімальної достатності привілеїв, фільтрації (ізоляції)\r\nінформаційних потоків та безумовної необхідності використання багатофакторної автентифікації.\r\nОбмежити доступ до засобів адміністрування вебресурсів, у т. ч. панелей керування CMS, а також\r\nсерверного обладнання (фільтрація на мережевому рівні, сертифікати, багатофакторна\r\nавтентифікація).\r\nЗабезпечити контроль (фільтрацію) вихідних інформаційних потоків (т. зв. egress filtering).\r\nЗабезпечити централізоване збирання, оброблення та зберігання (часова ємність – не менше року)\r\nжурнальних файлів із застосуванням відповідних систем (SIEM). Реалізувати та підтримувати в\r\nактуальному стані відповідно моделі загроз автоматизований моніторинг подій з метою виявлення\r\nаномалій.\r\nЗ метою виявлення фактів можливого втручання в роботу інформаційних систем здійснити\r\nперевірку мережевої активності та активності на хостах згідно вказаних індикаторів компрометації.\r\nКОРИСНІ ПОСИЛАННЯ\r\nhttps://cert.gov.ua/article/17899 \r\nhttps://cert.gov.ua/recommendation/2502 \r\nhttps://cert.gov.ua/recommendation/11388 \r\nІНДИКАТОРИ КОМПРОМЕТАЦІЇ (ІОС)\r\nFiles:\r\n5d5c99a08a7d927346ca2dafa7973fc1BootPatch\r\n14c8482f302b5e81e3fa1b18a509289dWhisperGate\r\ne61518ae9454a563b8f842286bbdb87bWhisperPack\r\nhttps://cert.gov.ua/article/18101\r\nPage 6 of 7\n\n3907c7fbd4148395284d8e6e3c1dba5d\r\nWhisperKill\r\n17fc12902f4769af3a9271eb4e2dacceAdvancedRun.exe\r\nURL:\r\nhxxps://cdn.discordapp[.]com/attachments/928503440139771947/930108637681184768/Tbopbh.jpg\r\nhxxp://179.43.176[.]42:8000/index.php\r\nhxxp://179.43.176[.]38:8000/index.php\r\nIP:\r\n179.43.176[.]42\r\n179.43.176[.]38\r\n179.43.176[.]60\r\n179.43.176.0/24\r\nCommands:\r\ncmd.exe /Q /c start c:\\stage1.exe 1\u003e \\\\127.0.0.1\\ADMIN$\\__%TIMESTAMP% 2\u003e\u00261\r\n%SYSTEMROOT%\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBz\r\n%SYSTEMROOT%\\System32\\WindowsPowerShell\\v1.0\\powershell.exe /WindowState 0 /CommandLine \"rmdir 'C:\\P\r\n\"%TMP%\\AdvancedRun.exe\" /EXEFilename \"C:\\Windows\\System32\\sc.exe\" /WindowState 0 /CommandLine \"stop W\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe rmdir 'C:\\ProgramData\\Microsoft\\Windows Def\r\ncmd.exe /min /C ping 111.111.111[.]111 -n 5 -w 10 \u003e Nul \u0026 Del /f /q %TMP%\\InstallUtil.exe\r\nHTTP-requests:\r\nPOST /backend/backend/auth/signin\r\nPOST /backend/backend\r\nPOST /backend/backend/auth/restore\r\nPOST /backend/backend/auth/reset/1/1\r\nPOST /backend/system/settings/update/october/backend/editor\r\nPOST /backend/backend/pages/create\r\nSource: https://cert.gov.ua/article/18101\r\nhttps://cert.gov.ua/article/18101\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "UK",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/18101"
	],
	"report_names": [
		"18101"
	],
	"threat_actors": [],
	"ts_created_at": 1775434935,
	"ts_updated_at": 1775791307,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/e28f1fefabd5d8aa81dc4a73307967fe91eac886.pdf",
		"text": "https://archive.orkl.eu/e28f1fefabd5d8aa81dc4a73307967fe91eac886.txt",
		"img": "https://archive.orkl.eu/e28f1fefabd5d8aa81dc4a73307967fe91eac886.jpg"
	}
}