{
	"id": "646171ec-29a3-4b65-8efc-8c87d625a184",
	"created_at": "2026-04-06T00:06:11.854904Z",
	"updated_at": "2026-04-10T03:28:24.308654Z",
	"deleted_at": null,
	"sha1_hash": "e93237d6c4f5f6d32664543d4025a4c71ef62a3d",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1001924,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 15:06:11 UTC\r\nОновлено: 19.06.2023. Скориговано атрибуцію: UAC-0036 -\u003e UAC-0102\r\nЗагальна інформація\r\nВід учасника інформаційного обміну отримано електронний лист з темою \"Помічена підозріла активність\r\n@UKR.NET\" та додатком у вигляді PDF-файлу \"Попередження про безпеку.pdf\" надісланий, начебто, від\r\nімені технічної підтримки UKR.NET (електронна адреса відправника: \"account.support.0@ukr.net\").\r\nЗгаданий PDF-документ містить посилання на шахрайський вебресурс, що імітує вебсторінку поштового\r\nсервісу.\r\nУ випадку автентифікації на підробному вебсайті, логін та пароль користувача будуть надіслані\r\nзловмисникам, що створить передумови для отримання несанкціонованого доступу до електронної\r\nпоштової скриньки користувача третіми особами.\r\nCERT-UA вжито додаткових заходів з аналізу мережевої інфраструктури, що застосовується для здійснення\r\nаналогічних кібератак з 2021 року, в результаті чого виявлено, щонайменше, 118 пов'язаних доменних\r\nімен, що зареєстровані компанією \"Internet Domain Service BS Corp.\" (@internet.bs, Багамські острови).\r\nВідповідні сервери, за даними Domaintools, розміщено в Нідерландах на технічному майданчику \"Nice-IT\"\r\naka \"@as49447.net\" (номер автономної системи: 49447).\r\nОписана активність відстежується за ідентифікатором UAC-0102.\r\nЗадля мінімізації вірогідності реалізації кіберзагроз у відношенні громадян України, ідентифіковані\r\nдоменні імена додано до DNS RPZ зони, яка обслуговується CERT-UA, а також передано фахівцям CSIRT-NBU з метою внесення до DNS RPZ зони \"шахрайство\".\r\nЗакликаємо користувачів UKR.NET скористатися штатним функціоналом поштового сервісу та\r\nневідкладно вжити заходів з налаштування багатофакторної автентифікації.\r\nРекомендовано, починаючи з 01.01.2023, перевірити факти мережевої взаємодії з доменними іменами та\r\nIP-адресами, зазначеними в розділі \"Індикатори кіберзагроз\", принагідно звернувши увагу на наявність\r\nнесанкціоновано налаштованих фільтрів пошти та сторонніх пристроїв/додатків, яким надо доступ до\r\nпоштової скриньки.\r\nІндикатори кіберзагроз\r\nМережеві:\r\nhXXp://accounts.cm1-ukr[.]net/desktop/security/login/\r\nhXXp://accounts.regs-ukr[.]net/desktop/security/login/\r\nhttps://cert.gov.ua/article/4928679\r\nPage 1 of 5\n\n45[.]9.148.178\r\nNL@as49447.net\r\n45[.]9.148.83NL@as49447.net\r\nse-ukr[.]net  2023-05-28\r\nsb-ukr[.]net  2023-05-28\r\nregs-ukr[.]net 2023-05-28\r\nom-ukr[.]net  2023-05-28\r\nmst-ukr[.]net 2023-05-28\r\nf3-ukr[.]net  2023-05-28\r\ndat1-ukr[.]net 2023-05-28\r\n8-ukr[.]net 2023-05-28\r\n5-ukr[.]net 2023-05-28\r\n4e-ukr[.]net  2023-05-28\r\nv-ukr[.]net 2023-05-13\r\nverify-ukr[.]net  2023-05-13\r\nv1-ukr[.]net  2023-05-13\r\ntc-ukr[.]net  2023-05-13\r\nsignup-ukr[.]net  2023-05-13\r\nscore-ukr[.]net 2023-05-13\r\np3-ukr[.]net  2023-05-13\r\nk-ukr[.]net 2023-05-13\r\nk1-ukr[.]net  2023-05-13\r\ndetails-ukr[.]net 2023-05-13\r\ncm1-ukr[.]net 2023-05-13\r\n1-ukr[.]net 2023-05-13\r\n0-ukr[.]net 2023-05-13\r\nuf1-ukr[.]net 2023-05-04\r\nmx3-ukr[.]net 2023-05-04\r\nlvc-ukr[.]net 2023-05-04\r\nbnt-ukr[.]net 2023-05-04\r\nprivate-ukr[.]net 2023-04-29\r\nmsx-ukr[.]net 2023-04-29\r\nedisk-ukr[.]net 2023-04-29\r\ncck-ukr[.]net 2023-04-29\r\nnews-ukr[.]net 2023-03-23\r\npassword-ukr[.]net 2023-03-17\r\naccounts-s-ukr[.]net  2023-02-24\r\nkt-ukr[.]net  2023-02-23\r\na3-ukr[.]net  2023-02-19\r\nuo-ukr[.]net  2023-02-18\r\nbh-ukr[.]net  2023-02-18\r\nlv-ukr[.]net  2023-02-14\r\nkg-ukr[.]net  2023-02-06\r\ndx-ukr[.]net  2023-02-06\r\nkb-ukr[.]net  2023-02-04\r\ntt-ukr[.]net  2023-02-03\r\no1-ukr[.]net  2023-02-02\r\nhj-ukr[.]net  2023-02-02\r\nhttps://cert.gov.ua/article/4928679\r\nPage 2 of 5\n\nuq-ukr[.]net\r\n2023-01-30\r\nserv1-ukr[.]net 2023-01-30\r\nrew-ukr[.]net 2023-01-30\r\nvv-ukr[.]net  2023-01-08\r\nlc-ukr[.]net  2023-01-08\r\ntd-ukr[.]net  2023-01-04\r\nmf-ukr[.]net  2023-01-04\r\nreg-ukr[.]net 2022-12-30\r\nel-ukr[.]net  2022-12-30\r\nacc-ukr[.]net 2022-12-30\r\nlogin-ukr[.]net 2022-12-10\r\nconfirm-ukr[.]net 2022-11-25\r\naccounts-ukr[.]net 2022-10-16\r\nsupport-ukr[.]net 2021-04-29\r\nnumsecukr[.]net 2019-04-11\r\n(inactive)\r\ncrv-ukr[.]net 2023-05-04\r\nbld-ukr[.]net 2023-05-04\r\nvirtual-ukr[.]net 2023-04-29\r\nsettingsukr[.]net 2023-04-29\r\nsession-ukr[.]net 2023-04-29\r\nmxukr[.]net 2023-04-29\r\ndubl-ukr[.]net 2023-04-29\r\ncmx-ukr[.]net 2023-04-29\r\nstatic-ukr[.]net  2023-04-08\r\nstage-ukr[.]net 2023-04-08\r\nsafe-ukr[.]net 2023-04-08\r\ns9-ukr[.]net  2023-04-08\r\nreply-ukr[.]net 2023-04-08\r\nprot-ukr[.]net 2023-04-08\r\npm-kv-ukr[.]net 2023-04-08\r\nmta-ukr[.]net 2023-04-08\r\nmod-ukr[.]net 2023-04-08\r\nksr1-ukr[.]net 2023-04-08\r\nfiles-ukr[.]net 2023-04-08\r\nclient-ukr[.]net  2023-04-08\r\nclients-ukr[.]net 2023-04-08\r\nweb-ukr[.]net 2023-04-02\r\nstep-ukr[.]net 2023-04-02\r\nsite-ukr[.]net 2023-04-02\r\nsettings-ukr[.]net 2023-04-02\r\npgh-ukr[.]net 2023-04-02\r\npas-ukr[.]net 2023-04-02\r\nint-ukr[.]net 2023-04-02\r\ninbox-ukr[.]net 2023-04-02\r\ncca-ukr[.]net 2023-04-02\r\nbtx-ukr[.]net 2023-04-02\r\nhttps://cert.gov.ua/article/4928679\r\nPage 3 of 5\n\n2fa-ukr[.]net\r\n2023-04-02\r\nvh-ukr[.]net2023-03-24\r\nout-ukr[.]net 2023-03-24\r\nin-ukr[.]net  2023-03-24\r\ncvi-ukr[.]net 2023-03-24\r\nstv-ukr[.]net 2023-03-20\r\npge-ukr[.]net 2023-03-20\r\naccounts---ukr[.]net  2023-03-20\r\nchangepassword-ukr[.]net  2023-03-17\r\naccounts--ukr[.]net 2023-03-17\r\nuc-ukr[.]net  2023-01-25\r\nub-ukr[.]net  2023-01-25\r\nck-ukr[.]net  2023-01-25\r\nkv-ukr[.]net  2023-01-19\r\nk1v-ukr[.]net 2023-01-19\r\nvn-ukr[.]net  2023-01-13\r\nser-ukr[.]net 2023-01-13\r\np-ukr[.]net 2023-01-13\r\nlt-ukr[.]net  2023-01-13\r\nml-ukr[.]net  2022-12-28\r\nm1-ukr[.]net  2022-12-23\r\nu1-ukr[.]net  2022-12-15\r\nl-ukr[.]net 2022-12-15\r\nmail-ukr[.]net 2022-12-13\r\nconf-ukr[.]net 2022-12-13\r\naccount-ukr[.]net 2022-01-10\r\nnotify-ukr[.]net  2021-03-17\r\nГрафічні зображення\r\nРис. 1 Приклад фішингового листа та шахрайської вебсторінки\r\nhttps://cert.gov.ua/article/4928679\r\nPage 4 of 5\n\nSource: https://cert.gov.ua/article/4928679\r\nhttps://cert.gov.ua/article/4928679\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia",
		"MISPGALAXY"
	],
	"references": [
		"https://cert.gov.ua/article/4928679"
	],
	"report_names": [
		"4928679"
	],
	"threat_actors": [
		{
			"id": "aa73cd6a-868c-4ae4-a5b2-7cb2c5ad1e9d",
			"created_at": "2022-10-25T16:07:24.139848Z",
			"updated_at": "2026-04-10T02:00:04.878798Z",
			"deleted_at": null,
			"main_name": "Safe",
			"aliases": [],
			"source_name": "ETDA:Safe",
			"tools": [
				"DebugView",
				"LZ77",
				"OpenDoc",
				"SafeDisk",
				"TypeConfig",
				"UPXShell",
				"UsbDoc",
				"UsbExe"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "61c16af3-1c0e-449d-bc0e-60ae3f49dd9f",
			"created_at": "2024-07-28T02:00:04.69478Z",
			"updated_at": "2026-04-10T02:00:03.681909Z",
			"deleted_at": null,
			"main_name": "UAC-0102",
			"aliases": [],
			"source_name": "MISPGALAXY:UAC-0102",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775433971,
	"ts_updated_at": 1775791704,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/e93237d6c4f5f6d32664543d4025a4c71ef62a3d.pdf",
		"text": "https://archive.orkl.eu/e93237d6c4f5f6d32664543d4025a4c71ef62a3d.txt",
		"img": "https://archive.orkl.eu/e93237d6c4f5f6d32664543d4025a4c71ef62a3d.jpg"
	}
}