{
	"id": "3256909f-eb10-44a1-8751-c44acb174997",
	"created_at": "2026-04-06T00:17:41.907152Z",
	"updated_at": "2026-04-10T03:23:32.356701Z",
	"deleted_at": null,
	"sha1_hash": "e78cce9b5e827d9d74d5e8d738970ac55bc30390",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 3875731,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 15:16:33 UTC\r\nЗагальна інформація\r\nУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA, починаючи з лютого\r\n2025 року, відстежується цільова активність, яка здійснюється з метою шпигунства у відношенні осередків\r\nрозвитку інновацій у військовій сфері, військових формувань, правоохоронних органів України та органів\r\nмісцевого самоврядування, особливо тих, що розташовані вздовж східного кордону країни.\r\nПервинна компрометація забезпечується шляхом розповсюдження електронних листів із вкладеннями у\r\nвигляді XLS-документів з макросами (розширення \".xlsm\"), назви/теми яких можуть стосуватися питань\r\nрозмінування території, адміністративних штрафів, виробництва БПЛА, компенсації за зруйноване майно\r\nтощо. При цьому, \"корисне навантаження\" представлене у вигляді base64-кодованих рядків, що\r\nзберігаються в клітинках Excel-таблиці. Згаданий макрос забезпечує перетворення (декодування) base64-\r\nкодованих рядків у виконувані файли, їх збереження на комп'ютер без розширення (!) та подальший\r\nзапуск. \r\nСтаном на квітень 2025 року відомо про два види програмних засобів реалізації кіберзагрози. Перший -\r\n.NET-програма, в ресурсах якої зберігається PowerShell-сценарій, що функціонально є reverse-shell'ом,\r\nзапозиченим з публічного GitHub репозиторію PSSW100AVB. Другий, класифікований як GIFTEDCROOK,\r\nС/C++ програма-стілер, що, серед іншого, забезпечує отримання баз даних Інтернет-браузерів Chrome,\r\nEdge, Firefox (Cookie, історія, збережені автентифікаційні дані), їх архівування за допомогою PowerShell-командлету Compress-Archive, та подальшу ексфільтрацію до Telegram.\r\nОписаний кластер кіберзагроз відстежується за ідентифікатором UAC-0226.\r\nЗавдяки злагодженій роботі суб'єктів кіберзахисту, зокрема, оперативному обміну інформацією, по\r\nкожному з аналогічних кіберінцидентів CERT-UA вживаються ефективні заходи реагування. У випадку\r\nвиявлення ознак здійснення кібератак просимо невідкладно інформувати будь-яким з доступних засобів\r\nзв'язку.\r\nЗвертаємо увагу, що розсилання електронних листів здійснюється з використанням скомпрометованих\r\nоблікових записів, в тому числі через вебінтерфейс. У цьому зв'язку системних адміністраторів просимо\r\nокремо перевірити наявність, повноту та глибину журналів поштового та вебсерверів.\r\nІндикатори кіберзагроз\r\nФайли:\r\n(28.02.2025)\r\n4a2ec9f72b910c0a8e3efc4c334f5bad  f8a31715840852e8ef04016b31f909123f2aa864f3850c45eb511fd1885b4037\r\ne5f4188682e40e79800ccd165289c844  e852d254395ef04308bcde37c3ee9725ab23ca82a202e7d69028c8bee0f0d05f\r\nhttps://cert.gov.ua/article/6282946\r\nPage 1 of 4\n\n1b71d870f34587e0a2717f9925086eab\r\na2f651d39b8d97221ad36577e9b50beabdf0ad46aec0c29b6cff624e1e2ffd0c\r\n(26.03.2025)\r\n333b09f8865aae5d257b6f11f2fe5d08  a02506468e632875a2c9c9c16e730b8bdc52f7450b28ee7bd8f5ac014b264e53\r\nb3831f0bace886aaba81873edc20aba4  40e68d7240e692ef3301cfaa92a04e0af65f2d725cbfa6711c3154b627fec0f1\r\n100cd9d907e986ba8d5fc6d0488557d9  58b38775f655498b134ce8cd52ab0aba05b710f7611e41cbdffdc3597c5d5f3d\r\n8b694068e5088e0c32739956e28b077e  8427dc6e7da4c163d20c7f188232cf3f83c78ddb6fcad04cec84b33e0f9bdfc0\r\n0a178f76c48c038e8bad03a62b52cfc9  78ea83bfbca85a39e59fa35c8f704873f3fdad3a5278430e75286247530042b8\r\n671b42e854ae2ee3341456fbec7c7787  92183f89b115881535b1bf1985f3ee4b4ebf077bec8cc4de0c6c6e266da0cb87\r\n(02.04.2025)\r\n3394fc2ba0a976818691751aa7f86d05  0a4777725673f9f7114ddceddd80e5a72ad3a4d20fd2014d4c60e2cc1a6cefc2\r\nd280a258704bf9155bceaf4f731988ea  7ca3f2505e1778e6de3927571ba49d27b36447e6c28a60161d55fd2254966bce\r\ndaffbfd71f8595ab6d6b8c94cc81a778  24a60e50ed8469fc31afa9abfc361291f72922430cf062bf9c4ac7e6d84b5fad\r\n037e2ca3c97e1a5645cdc45fb0d98064  2930ad9be3fec3ede8f49cecd33505132200d9c0ce67221d0b786739f42db18a\r\n(04.04.2025)\r\ncffdd24742610fe5710dbc9ebd258c64  c8bb0dbc952c9dc2bbc550a300ed033ad5d2416390891ed1e800b08ad3ab5d3a\r\nf62ea2cbd220596072010e91dd65b673  530185fac69e756fb62f23e21e7c0b0828a964b91bbf40f1d04fc2136c1b6dd1\r\n9f6c82c240ba5ef6bb85d28c0cdf7f7f  c27cf714293c496c8fc05b330a57bcfcb6189267e2818062660de88b0f3a25cd\r\nb63b783a9aca15726babd599d2963869  ff1be55fb5bb3b37d2e54adfbe7f4fbba4caa049fad665c8619cf0666090748a\r\n(07.04.2025)\r\n966373dbe28f4111f6ce47038fb343da 8a638a788adb0edb6622b16fd8783bc225470f8ff94b1bba4a94b4d8c105acef\r\n9c03d0da190d1046583ba9fa83a8bcd3 d7a66fd37e282d4722d53d31f7ba8ecdabc2e5f6910ba15290393d9a2f371997\r\nХостові:\r\n%PROGRAMDATA%\\Microsoft OneDrive Assistant\\Microsoft OneDrive Assistant\r\n%PROGRAMDATA%\\Windows Service\\Windows Service\r\n%PROGRAMDATA%\\Windows Telemetry\\Windows Telemetry\r\n%PROGRAMDATA%\\Microsoft Runtime\\Runtime\r\n%PROGRAMDATA%\\Svchost\\Svchost\r\n%PROGRAMDATA%\\Microsoft ServiceHub\\ServiceHub\r\n%PROGRAMDATA%\\SysAnalyzer\\SysAnalyzer\r\n%PROGRAMDATA%\\FlashAssistant\\FlashAssistant\r\n%TMP%\\nmpoyqv5l0ig\\\r\n%TMP%\\status.zip\r\npowershell -Command Compress-Archive -Path %TMP%\\nmpoyqv5l0ig\\* -DestinationPath %TMP%\\status.zip\r\nМережеві:\r\n149[.]102.246.110 (VPN; 2025-02-28 00:00:22+0200 - 2025-02-28 16:10:29+0200)\r\n(tcp)://37[.]120.239.187:6501\r\n37[.]120.239.187 (C2)\r\n(tcp)://89[.]44.9.186:3240\r\n89[.]44.9.186 (C2)\r\nhttps://cert.gov.ua/article/6282946\r\nPage 2 of 4\n\n149.102.246.110\r\ntcp://37.120.239.187:6501\r\n37.120.239.187 (C2)\r\ntcp://89.44.9.186:3240\r\n89.44.9.186 (C2)\r\nГрафічні зображення\r\nРис.1 Приклад ланцюга ураження (GIFTEDCROOK)\r\nРис.2 Приклади електронних листів та revers-shell'у\r\nhttps://cert.gov.ua/article/6282946\r\nPage 3 of 4\n\nSource: https://cert.gov.ua/article/6282946\r\nhttps://cert.gov.ua/article/6282946\r\nPage 4 of 4",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia",
		"MISPGALAXY"
	],
	"references": [
		"https://cert.gov.ua/article/6282946"
	],
	"report_names": [
		"6282946"
	],
	"threat_actors": [
		{
			"id": "4ca9564c-9ccf-4d82-8721-5d57f6801d0d",
			"created_at": "2025-05-29T02:00:03.20861Z",
			"updated_at": "2026-04-10T02:00:03.863186Z",
			"deleted_at": null,
			"main_name": "UAC-0226",
			"aliases": [],
			"source_name": "MISPGALAXY:UAC-0226",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434661,
	"ts_updated_at": 1775791412,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/e78cce9b5e827d9d74d5e8d738970ac55bc30390.pdf",
		"text": "https://archive.orkl.eu/e78cce9b5e827d9d74d5e8d738970ac55bc30390.txt",
		"img": "https://archive.orkl.eu/e78cce9b5e827d9d74d5e8d738970ac55bc30390.jpg"
	}
}