{
	"id": "665f9526-e82d-4e18-94d2-bbbbebfb710f",
	"created_at": "2026-04-06T00:12:34.022959Z",
	"updated_at": "2026-04-10T03:22:03.997345Z",
	"deleted_at": null,
	"sha1_hash": "facd552d3a133cec5a6421d21474e03a66968b0c",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 169937,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 13:36:43 UTC\r\nВиявлено розсилку шпигунського програмного забезпечення типу Pterodo, яке розповсюджується за\r\nдопомогою електронної пошти під виглядом офіційної кореспонденції з доменів .gov.ua. Насправді, адреси\r\nвідправників змінено, а листи відправляються з електронних адрес porohman@i.ua та porohwoman@i.ua.\r\nДо електронних листів прикріплений архів, який містить spisok_24.08.2018.com та НПУ.docx файли. За\r\nрезультатами аналізу встановлено, що при активації виконуваних файлів з архіву НПУ.rar виконувана\r\nкомпонента spisok_24.08.2018.com (ехе файл) автоматично розпаковується на виконувані (Icloud.exe,\r\nIclouding.exe, ipad.system) та командні файли (iclouds.cmd, iclouds.cmd), метою яких є збір даних враженої\r\nсистеми та передача даних програмою Iclouding.exe до командного серверу single-office.ddns[.]net (на момент\r\nаналізу ІР-адреса домену була 95.142.45[.]58).\r\nКомпоненти вірусу маскуються під програмне забезпечення корпорацій Apple та Adobe. Крім того, шкідливе\r\nпрограмне забезпечення може видаляти системні файли та власні файли для приховування слідів діяльності,\r\nщо може спричинити не можливість запуску операційної системи.\r\nПід час активної дії виконуваної компоненти spisok_24.08.2018.com (або \"забезпечте моніторинг мережевого\r\nобладнання на факт звертання до підозрілих адрес.com\") створюється процес Icloud.exe який в свою чергу\r\nзапускає cmd.exe у прихованому режимі та процес timeout.exe, мета якого періодично поновлювати зв'язок з\r\nкомандним сервером для передачі та отримання інформації. Не виключено отримання вказівок з командного\r\nсервера.\r\nЗловмисники за допомогою даного шпигунського програмного забезпечення легко підключаються до\r\nсистеми, стежать за діями жертви і крадуть її конфіденційну інформацію.\r\nІндикатори компрометації (IOC):\r\nШкідливі домени та ІР (C2):\r\nsingle-office.ddns[.]net\r\n95.142.45[.]58\r\nEmail:\r\nhttps://cert.gov.ua/article/2807\r\nPage 1 of 4\n\nporohman@i.ua\r\nporohwoman@i.ua\r\nПриклад повідомлень :\r\nВміст вкладень може відрізнятися, але спільним є те, що в архіві міститься файл (або файли) з схожою на\r\nдостовірну інформацію та виконуваний файл з розширенням .соm, який і є вірусом.\r\nПриклади вкладень:\r\nШкідливі файли:\r\n\"Лица, которые переместились из АР Крым и районов проведения антитерротистической операции.com\"\r\nMD5: 76741F7B1FF4860475B34BAD2606DD16\r\nhttps://www.virustotal.com/#/file/97fe980403bebf0bd2b1dda6c0c674787fb945827fedabb0656ee40eb92a6efa/detection\r\nspisok_24.08.2018.com\r\nMD5: 8717F3723C2BB557B548EF8483BEA91C\r\nhttps://www.virustotal.com/#/file/50181154303284c8dbd64287efa16bca82a350f565b32b0d9f2d9a8aedc889b4/detection\r\n./ipad.system\r\nhttps://cert.gov.ua/article/2807\r\nPage 2 of 4\n\nMD5: e5d73afdbd5b440cc45e59e6db509d71\r\nhttps://www.virustotal.com/#/file/b024234d583b3adb5ae4ec3809d316b4f2f48839b3d9baec615750f35ce231cc/detection\r\n./IcloudSecurity.lnk\r\nMD5: 355b8b3170f01c5db98461b7451008d6 \r\nhttps://www.virustotal.com/#/file/cce68c4b705595610289293922b96513d71d8b376f6e9fe0b32513ccf1274178/detection\r\n./НПУ.docx \r\nMD5: 23577b4223db2762bc4521dcc8c9e5c5 \r\n/Iclouding.exe\r\nMD5: 834c709455bfefb9b0e8976bad13a8f4 \r\n.\r\n./icloud.cmd\r\nMD5: 9d03d5fb154b1cb54da8a6ab71999251  \r\n./iclouds.cmd\r\nMD5: 1d4874db97fcce7c3537f49ec8aa0672 \r\nРекомендації CERT-UA:\r\n- рекомендуємо адміністраторам слідкувати за спробами підключення до зазначеного C2 домену та ІР, для\r\nвиявлення потенційно заражених систем.\r\n- уникайте повідомлень вказаного та схожого змісту та застережіть персонал від запуску вкладень у\r\nпідозрілих повідомленнях та файлів з виконуваними форматами ;\r\n- адміністраторам поштових серверів, зверніть увагу на фільтрування вхідних/вихідних інформаційних\r\nпотоків, зокрема поштового веб-трафіку, налаштуйте захист від спаму та підробки адреси відправника за\r\nдопомогою технологій DKIM, SPF, DMARC;\r\n- перевірте журнальні файли на предмет наявності записів з зазначеними вище індикаторами;\r\n- обмежіть можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій\r\n%TEMP%, %APPDATA%.\r\n- регулярно оновлюйте антивірусну базу та сканувати потенційно заражені системи;\r\n- регулярно робіть резервні копії важливого програмного забезпечення та данних;\r\n- періодично робіть повну перевірку \"чутливих\" комп'ютерів на предмет наявності шкідливого програмного\r\nзабезпечення;\r\nhttps://cert.gov.ua/article/2807\r\nPage 3 of 4\n\n- регулярно оновлюйте програмне забезпечення;\r\nSource: https://cert.gov.ua/article/2807\r\nhttps://cert.gov.ua/article/2807\r\nPage 4 of 4",
	"extraction_quality": 1,
	"language": "UK",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/2807"
	],
	"report_names": [
		"2807"
	],
	"threat_actors": [],
	"ts_created_at": 1775434354,
	"ts_updated_at": 1775791323,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/facd552d3a133cec5a6421d21474e03a66968b0c.pdf",
		"text": "https://archive.orkl.eu/facd552d3a133cec5a6421d21474e03a66968b0c.txt",
		"img": "https://archive.orkl.eu/facd552d3a133cec5a6421d21474e03a66968b0c.jpg"
	}
}