CERT-UA
Archived: 2026-04-10 02:00:17 UTC
Оновлено 29.03.2026
Загальна інформація
Національною командою реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA 26-27 березня
2026 року зафіксовано випадки розповсюдження електронних листів нібито від імені CERT-UA із закликом
завантажити з сервісу Files.fm захищений паролем архів ("CERT_UA_protection_tool.zip",
"protection_tool.zip") та встановити "спеціалізоване програмне забезпечення". Серед отримувачів листів:
державні організації, медичні центри, охоронні фірми, навчальні заклади, фінансові установи, компанії-розробники програмного забезпечення та інші.
Крім того, виявлено вебресурс cert-ua[.]tech, який містить матеріали з офіційної вебсторінки cert.gov.ua, а
також інструкцію із завантаження згаданого "засобу захисту".
З'ясовано, що виконуваний файл, який пропонувалося встановити (внутрішня назва пакета:
"/example.com/tvisor/agent"), є багатофункціональним програмним засобом для віддаленого керування
комп’ютером, що класифікований CERT-UA як AGEWHEEZE.
Сервер управління програмним засобом розміщено на технічному майданчику французької компанії OVH
(AS16276). На мережевому порту 8443/tcp опубліковано вебсторінку з назвою "The Cult", що містить
форму автентифікації. У вихідному коді HTML-сторінки наявні рядки російською мовою: "Членство
приостановлено. Твой доступ к Культу был заблокирован. Свяжись с администратором для
восстановления". Відповідний самопідписаний SSL-сертифікат створено 18.03.2026, а поле "Organization"
містить значення "TVisor".
Під час поверхневого огляду ШІ-згенерованої вебсторінки hXXps://cert-ua[.]tech/ (SSL-сертифікат
GlobalSign дійсний з 27.03.2026 06:41:09 GMT; станом на 29.03.2026 вебсторінка не відображається), в
HTML-коді виявлено рядки: "С Любовью, КИБЕР СЕРП - hXXps://t[.]me/CyberSerp_Official". Уже
28.03.2026 у згаданому Telegram-каналі опубліковано повідомлення про взяття відповідальності за
проведення кібератаки, що усуває невизначеність технічної атрибуції. Таким чином, для відстеження
описаної активності створено ідентифікатор UAC-0255.
За даними CERT-UA, кібератака була неуспішною. Ідентифіковано не більше ніж кілька інфікованих
особистих пристроїв, що належали працівникам закладів освіти різних форм власності. Фахівці команди
надали необхідну методичну та практичну допомогу.
Принагідно висловлюємо вдячність українським постачальникам електронних комунікаційних послуг, які
сприяють доведенню інформації про кіберзагрози до абонентів та забезпечують функціонування засобів
кіберзахисту Національної системи реагування на кіберінциденти, кібератаки, кіберзагрози, що
впроваджуються підрозділами Держспецзв’язку.
https://cert.gov.ua/article/6288047
Page 1 of 6

Слід зазначити, що розвиток штучного інтелекту суттєво спрощує реалізацію кіберзагроз. Відтак
рекомендуємо відповідально поставитися до скорочення поверхні атаки як на зовнішньому мережевому
периметрі інформаційно-комунікаційних систем, так і на рівні використовуваних засобів обчислювальної
техніки, зокрема шляхом налаштування штатних засобів захисту операційних систем (наприклад, SRP,
AppLocker) та застосування спеціалізованих програмних засобів захисту.
AGEWHEEZE
Програмний засіб типу RAT, розроблений із використанням мови програмування Go. Окрім стандартного
для таких програм функціоналу, зокрема виконання команд і керування файлами, він підтримує передачу
вмісту екрана, емуляцію введення з миші та клавіатури, роботу з буфером обміну, керування процесами та
службами. Для забезпечення персистентності можуть використовуватися реєстр ОС, каталог Startup або ж
заплановане завдання. У досліджених зразках первинне встановлення здійснюється за шляхами
"%APPDATA%\SysSvc\SysSvc.exe" та "%APPDATA%\service\service.exe", а для підвищення привілеїв
створюється заплановане завдання, зокрема "SvcHelper" та "CoreService". Для комунікації з сервером
управління використовуються вебсокети. Перелік команд, що підтримуються програмним засобом: 
0x11 - ScreenControl
0x20 - InputMouse
0x21 - InputKeyboard
0x30 - FileList
0x31 - FileRead
0x32 - FileWrite
0x33 - FileDelete
0x34 - FileRename
0x36 - FileMkDir
0x37 - FileExec
0x40 - SysInfo
0x41 - ProcList
0x42 - ProcKill
0x43 - ServiceList
0x44 - ServiceControl
0x45 - AutorunList
0x46 - AutorunAdd
0x47 - AutorunRemove
0x48 - Zip (archive files)
0x50 - SelfDelete
0x51 - ElevateIfNeeded
0x60 - TermControl
0x61 - TermInput
0x64 - CmdExec
0x70 - PowerAction (shutdown/restart/logoff/sleep/lock)
0x90 - ClipRead
https://cert.gov.ua/article/6288047
Page 2 of 6

0x91 - ClipWrite
0x92 - Env
0x93 - OpenURL
Індикатори кіберзагроз
Файли:
2f8f3e2860f76a630f514f435049764c d42df7073f59c52b4450338c868c6cf58bc4c5bde1230dbcc046f
4d210550b3073cff2a7fc2979a64277c 5f16463f5c463f5f2f69f31c6ce7d3040d07876156a265b552173
afbabb90e761451bb66a753ffd1ca92d 0d7147a08c70cf15428f4b3ed2f16587ec6f57b0d0be9e3197968
e4fa3e55f77419c8d718d11e663a614c 468e0919ffb6c12444b77570e5cb68b1fe1e7d7a1aea2193b1760
37631c6c5fce72ce0f75bf70c6f521b9 98f8ffdb5abc0b0bf11de72d7d904bacbc1834d3290d92f8f7cd9
0e86fe5ea183a582e4cb8ffa39d3f14b 342cf215d7599a65b23398038f943f516b0bd649926e21427d8e0
Мережеві:
hXXps://files[.]fm/u/7nxvfbmf46
hXXps://files[.]fm/u/cmr9kspbs5
incidents@cert-ua.tech
(wss)://54[.]36.237.92:8443
hiddify.creepy[.]ltd
panel.creepy[.]ltd
cert-ua[.]tech (2026-03-27; publicdomainregistry.com)
creepy[.]ltd (2026-01-21; reg.ru)
54[.]36.237.92 (С2)
https://files.fm/u/7nxvfbmf46
https://files.fm/u/cmr9kspbs5
incidents@cert-ua.tech
wss://54.36.237.92:8443
hiddify.creepy.ltd
panel.creepy.ltd
cert-ua.tech
creepy.ltd
54.36.237.92
Хостові:
%APPDATA%\SysSvc\SysSvc.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\'SvcHelper'
SvcHelper (Scheduled Task)
%APPDATA%\service\service.exe
https://cert.gov.ua/article/6288047
Page 3 of 6

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\'CoreService'
CoreService (Scheduled Task)
Графічні зображення
Рис. 1 Приклади електронних листів
Рис. 2 Використання сервісу Files.fm для розміщення архівів
https://cert.gov.ua/article/6288047
Page 4 of 6

Рис. 3 Приклади вмісту документів-приманок
Рис. 4 Приклад фейкової вебсторінки hXXps://cert-ua[.]tech/
https://cert.gov.ua/article/6288047
Page 5 of 6

Рис. 5 Приклад вебпанелі, розміщеної на сервері управління
Source: https://cert.gov.ua/article/6288047
https://cert.gov.ua/article/6288047
Page 6 of 6