Державна команда реагування на комп’ютерні надзвичайні події України CERT-UA зафіксувала масову хвилю цілеспрямованих кібератак (Spear-Phishing) на державні установи та організації. Організатором кампанії виступає відоме угруповання UAC-0057 (також відоме як UNC1151).
Для проведення розсилки хакери використовують витончену тактику: вони відправляють шкідливі листи не зі своїх серверів, а через уже скомпрометовані облікові записи реальних українських підприємств та організацій. Це дозволяє їм легко обходити базові спам-фільтри поштових сервісів.
Анатомія атаки: від фішингового листа до повного контролю
Зловмисники розсилають електронні листи з темою про нібито успішне генерування сертифіката про завершення навчання на популярній онлайн-платформі Prometheus.
Процес інфікування комп’ютера жертви відбувається у кілька етапів:
-
Документ-приманка: До листа додано PDF-файл, який візуально копіює офіційне сповіщення Prometheus. Усередині тексту зашито посилання.
-
Завантаження архіву: При натисканні на посилання на ПК користувача завантажується ZIP-архів, який містить небезпечний JavaScript-файл.
-
Запуск OYSTERFRESH: Цей JS-файл запускає шкідливий компонент, який паралельно відкриває легітимний документ-приманку (щоб у користувача не виникло підозр) та розпочинає інфікування операційної системи.
-
Обфускація через OYSTERBLUES та OYSTERSHUCK: Система записує в реєстр Windows у зашифрованому вигляді шкідливий код OYSTERBLUES. Для його розшифрування на льоту запускається декодер OYSTERSHUCK, який послідовно застосовує складні математичні алгоритми: реверсування рядків, перетворення тексту ROT13 та стандартне URL-декодування.
-
Збір даних та шпигунство: Активований OYSTERBLUES миттєво збирає критичні дані про ПК жертви (ім’я пристрою, обліковий запис, версію ОС, точний час останнього завантаження та повний перелік запущених процесів) і відправляє їх на командний сервер через HTTP POST-запит.
-
Фінал (Cobalt Strike): У відповідь сервер надсилає JS-код, який виконується через системну функцію eval. На фінальній стадії на комп’ютер довантажується легітимний фреймворк для пентесту Cobalt Strike, який у руках хакерів перетворюється на ультимативний інструмент віддаленого управління пристроєм.
Характеристики інфраструктури хакерів
Експерти CERT-UA зазначають, що зловмисники з UAC-0057 традиційно маскують свої командні сервери за сервісами захисту Cloudflare, а переважна більшість доменних імен, які вони реєструють для атак, відносяться до дешевої доменної зони верхнього рівня .icu.
Як захиститися? Рекомендації CERT-UA для ІТ-адміністраторів
Щоб мінімізувати поверхню атаки та заблокувати виконання шкідливих JavaScript-сценаріїв звичайними користувачами, технічним службам державних установ та комерційного бізнесу рекомендується:
-
Головний крок: На рівні групових політик ОС обмежити або повністю заблокувати можливість запуску утиліти wscript.exe для облікових записів звичайних користувачів (це унеможливить автоматичне виконання JS-файлів з архівів).
-
Посилений моніторинг: Налаштувати системи захисту мережі (EDR/SIEM) на виявлення підозрілих HTTP POST-запитів до доменів у зоні .icu.
-
Кібергігієна: Провести оперативний інструктаж персоналу: не відкривати посилання з PDF-файлів, що прийшли від платформ навчання, та завжди перевіряти статус сертифікатів безпосередньо у своєму особистому кабінеті на сайті Prometheus, а не через пошту.
HiTech Expert Take
Для HiTech Expert ми резюмуємо: травнева атака UAC-0057 вкотре доводить, що найслабшою ланкою в системі безпеки залишається людина. Використання ROT13 та Cloudflare для приховування OYSTER-компонентів — це серйозний рівень підготовки. На тлі того, що в Україні 28 травня стартує великий 2U Tech Forum з окремою сценою Defense Stage, такі інциденти чітко підсвічують головні завдання для нашого кіберфронту. Захист від Cobalt Strike вимагає від бізнесу та держорганів негайного переходу на архітектуру нульової довіри (Zero Trust).
