{
	"id": "777b8a45-9ca8-4650-a4ca-a36eab2e249c",
	"created_at": "2026-04-10T03:21:58.377541Z",
	"updated_at": "2026-04-10T03:22:19.502589Z",
	"deleted_at": null,
	"sha1_hash": "e52f1156f2c9e8397ba775fc76825e6c67430ac4",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 5846726,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-10 02:00:17 UTC\r\nОновлено 29.03.2026\r\nЗагальна інформація\r\nНаціональною командою реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA 26-27 березня\r\n2026 року зафіксовано випадки розповсюдження електронних листів нібито від імені CERT-UA із закликом\r\nзавантажити з сервісу Files.fm захищений паролем архів (\"CERT_UA_protection_tool.zip\",\r\n\"protection_tool.zip\") та встановити \"спеціалізоване програмне забезпечення\". Серед отримувачів листів:\r\nдержавні організації, медичні центри, охоронні фірми, навчальні заклади, фінансові установи, компанії-розробники програмного забезпечення та інші.\r\nКрім того, виявлено вебресурс cert-ua[.]tech, який містить матеріали з офіційної вебсторінки cert.gov.ua, а\r\nтакож інструкцію із завантаження згаданого \"засобу захисту\".\r\nЗ'ясовано, що виконуваний файл, який пропонувалося встановити (внутрішня назва пакета:\r\n\"/example.com/tvisor/agent\"), є багатофункціональним програмним засобом для віддаленого керування\r\nкомп’ютером, що класифікований CERT-UA як AGEWHEEZE.\r\nСервер управління програмним засобом розміщено на технічному майданчику французької компанії OVH\r\n(AS16276). На мережевому порту 8443/tcp опубліковано вебсторінку з назвою \"The Cult\", що містить\r\nформу автентифікації. У вихідному коді HTML-сторінки наявні рядки російською мовою: \"Членство\r\nприостановлено. Твой доступ к Культу был заблокирован. Свяжись с администратором для\r\nвосстановления\". Відповідний самопідписаний SSL-сертифікат створено 18.03.2026, а поле \"Organization\"\r\nмістить значення \"TVisor\".\r\nПід час поверхневого огляду ШІ-згенерованої вебсторінки hXXps://cert-ua[.]tech/ (SSL-сертифікат\r\nGlobalSign дійсний з 27.03.2026 06:41:09 GMT; станом на 29.03.2026 вебсторінка не відображається), в\r\nHTML-коді виявлено рядки: \"С Любовью, КИБЕР СЕРП - hXXps://t[.]me/CyberSerp_Official\". Уже\r\n28.03.2026 у згаданому Telegram-каналі опубліковано повідомлення про взяття відповідальності за\r\nпроведення кібератаки, що усуває невизначеність технічної атрибуції. Таким чином, для відстеження\r\nописаної активності створено ідентифікатор UAC-0255.\r\nЗа даними CERT-UA, кібератака була неуспішною. Ідентифіковано не більше ніж кілька інфікованих\r\nособистих пристроїв, що належали працівникам закладів освіти різних форм власності. Фахівці команди\r\nнадали необхідну методичну та практичну допомогу.\r\nПринагідно висловлюємо вдячність українським постачальникам електронних комунікаційних послуг, які\r\nсприяють доведенню інформації про кіберзагрози до абонентів та забезпечують функціонування засобів\r\nкіберзахисту Національної системи реагування на кіберінциденти, кібератаки, кіберзагрози, що\r\nвпроваджуються підрозділами Держспецзв’язку.\r\nhttps://cert.gov.ua/article/6288047\r\nPage 1 of 6\n\nСлід зазначити, що розвиток штучного інтелекту суттєво спрощує реалізацію кіберзагроз. Відтак\r\nрекомендуємо відповідально поставитися до скорочення поверхні атаки як на зовнішньому мережевому\r\nпериметрі інформаційно-комунікаційних систем, так і на рівні використовуваних засобів обчислювальної\r\nтехніки, зокрема шляхом налаштування штатних засобів захисту операційних систем (наприклад, SRP,\r\nAppLocker) та застосування спеціалізованих програмних засобів захисту.\r\nAGEWHEEZE\r\nПрограмний засіб типу RAT, розроблений із використанням мови програмування Go. Окрім стандартного\r\nдля таких програм функціоналу, зокрема виконання команд і керування файлами, він підтримує передачу\r\nвмісту екрана, емуляцію введення з миші та клавіатури, роботу з буфером обміну, керування процесами та\r\nслужбами. Для забезпечення персистентності можуть використовуватися реєстр ОС, каталог Startup або ж\r\nзаплановане завдання. У досліджених зразках первинне встановлення здійснюється за шляхами\r\n\"%APPDATA%\\SysSvc\\SysSvc.exe\" та \"%APPDATA%\\service\\service.exe\", а для підвищення привілеїв\r\nстворюється заплановане завдання, зокрема \"SvcHelper\" та \"CoreService\". Для комунікації з сервером\r\nуправління використовуються вебсокети. Перелік команд, що підтримуються програмним засобом: \r\n0x11 - ScreenControl\r\n0x20 - InputMouse\r\n0x21 - InputKeyboard\r\n0x30 - FileList\r\n0x31 - FileRead\r\n0x32 - FileWrite\r\n0x33 - FileDelete\r\n0x34 - FileRename\r\n0x36 - FileMkDir\r\n0x37 - FileExec\r\n0x40 - SysInfo\r\n0x41 - ProcList\r\n0x42 - ProcKill\r\n0x43 - ServiceList\r\n0x44 - ServiceControl\r\n0x45 - AutorunList\r\n0x46 - AutorunAdd\r\n0x47 - AutorunRemove\r\n0x48 - Zip (archive files)\r\n0x50 - SelfDelete\r\n0x51 - ElevateIfNeeded\r\n0x60 - TermControl\r\n0x61 - TermInput\r\n0x64 - CmdExec\r\n0x70 - PowerAction (shutdown/restart/logoff/sleep/lock)\r\n0x90 - ClipRead\r\nhttps://cert.gov.ua/article/6288047\r\nPage 2 of 6\n\n0x91 - ClipWrite\r\n0x92 - Env\r\n0x93 - OpenURL\r\nІндикатори кіберзагроз\r\nФайли:\r\n2f8f3e2860f76a630f514f435049764c d42df7073f59c52b4450338c868c6cf58bc4c5bde1230dbcc046f\r\n4d210550b3073cff2a7fc2979a64277c 5f16463f5c463f5f2f69f31c6ce7d3040d07876156a265b552173\r\nafbabb90e761451bb66a753ffd1ca92d 0d7147a08c70cf15428f4b3ed2f16587ec6f57b0d0be9e3197968\r\ne4fa3e55f77419c8d718d11e663a614c 468e0919ffb6c12444b77570e5cb68b1fe1e7d7a1aea2193b1760\r\n37631c6c5fce72ce0f75bf70c6f521b9 98f8ffdb5abc0b0bf11de72d7d904bacbc1834d3290d92f8f7cd9\r\n0e86fe5ea183a582e4cb8ffa39d3f14b 342cf215d7599a65b23398038f943f516b0bd649926e21427d8e0\r\nМережеві:\r\nhXXps://files[.]fm/u/7nxvfbmf46\r\nhXXps://files[.]fm/u/cmr9kspbs5\r\nincidents@cert-ua.tech\r\n(wss)://54[.]36.237.92:8443\r\nhiddify.creepy[.]ltd\r\npanel.creepy[.]ltd\r\ncert-ua[.]tech (2026-03-27; publicdomainregistry.com)\r\ncreepy[.]ltd (2026-01-21; reg.ru)\r\n54[.]36.237.92 (С2)\r\nhttps://files.fm/u/7nxvfbmf46\r\nhttps://files.fm/u/cmr9kspbs5\r\nincidents@cert-ua.tech\r\nwss://54.36.237.92:8443\r\nhiddify.creepy.ltd\r\npanel.creepy.ltd\r\ncert-ua.tech\r\ncreepy.ltd\r\n54.36.237.92\r\nХостові:\r\n%APPDATA%\\SysSvc\\SysSvc.exe\r\nHKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\'SvcHelper'\r\nSvcHelper (Scheduled Task)\r\n%APPDATA%\\service\\service.exe\r\nhttps://cert.gov.ua/article/6288047\r\nPage 3 of 6\n\nHKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\'CoreService'\r\nCoreService (Scheduled Task)\r\nГрафічні зображення\r\nРис. 1 Приклади електронних листів\r\nРис. 2 Використання сервісу Files.fm для розміщення архівів\r\nhttps://cert.gov.ua/article/6288047\r\nPage 4 of 6\n\nРис. 3 Приклади вмісту документів-приманок\r\nРис. 4 Приклад фейкової вебсторінки hXXps://cert-ua[.]tech/\r\nhttps://cert.gov.ua/article/6288047\r\nPage 5 of 6\n\nРис. 5 Приклад вебпанелі, розміщеної на сервері управління\r\nSource: https://cert.gov.ua/article/6288047\r\nhttps://cert.gov.ua/article/6288047\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "UK",
	"sources": [
		"MISPGALAXY",
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/6288047"
	],
	"report_names": [
		"6288047"
	],
	"threat_actors": [],
	"ts_created_at": 1775791318,
	"ts_updated_at": 1775791339,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/e52f1156f2c9e8397ba775fc76825e6c67430ac4.pdf",
		"text": "https://archive.orkl.eu/e52f1156f2c9e8397ba775fc76825e6c67430ac4.txt",
		"img": "https://archive.orkl.eu/e52f1156f2c9e8397ba775fc76825e6c67430ac4.jpg"
	}
}