Seguir 
O phishing continua sendo uma das ferramentas mais eficazes no arsenal dos cibercriminosos, especialmente quando os atores da ameaça abusam de identidades confiáveis, contas legítimas comprometidas e serviços online familiares para aumentar a interação com as vítimas. A Europol observa que as técnicas de phishing permanecem um vetor principal de distribuição de malware que rouba dados, enquanto o último aviso da CERT-UA mostra que a mesma lógica de engenharia social continua a impulsionar campanhas direcionadas contra organizações do setor público ucraniano.
Em seu aviso de 21 de maio de 2026, a CERT-UA alertou que o UAC-0057 havia atualizado seu kit de ferramentas de malware e estava usando OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES em uma campanha de phishing direcionada a organizações estatais ucranianas. O tema do atrativo centrou-se na obtenção de certificados por meio da plataforma educacional Prometheus, enquanto o comércio mais amplo se sobrepõe ao cluster de atividade Ghostwriter / FrostyNeighbor / UNC1151 que pesquisadores de segurança continuam a associar a operações de espionagem alinhadas à Bielorrússia contra entidades governamentais ucranianas.
Relatórios recentes mostram que a atividade do Ghostwriter em 2026 contra a Ucrânia não está isolada em uma única cadeia de infecção. A ESET documentou novas campanhas de março de 2026 direcionadas a organizações governamentais ucranianas com iscas em PDF geocompartimentadas que, por fim, entregavam o Cobalt Strike, destacando como o ator continua a renovar tanto seus mecanismos de entrega quanto seu conjunto de malware. O último aviso do UAC-0057 da CERT-UA encaixa-se nesse mesmo padrão de adaptação contínua, desta vez com um conjunto de ferramentas com a marca OYSTER, documentado e distribuído através de e-mails de phishing enviados de contas do mundo real comprometidas.
Inscreva-se na Plataforma SOC Prime para defender proativamente sua organização contra os ataques do UAC-0057. Basta pressionar Explorar Detectores abaixo e acessar uma pilha de regras de detecção relevante, enriquecida com CTI nativa de IA, mapeada para a estrutura MITRE ATT&CK® e compatível com uma ampla gama de tecnologias SIEM, EDR e Data Lake.
As equipes de segurança podem buscar na biblioteca do Threat Detection Marketplace usando a tag “UAC-0057” para identificar detecções relevantes e rastrear atualizações de conteúdo relacionadas. Os defensores cibernéticos também podem confiar no Uncoder AI para transformar relatórios de ameaças recentes em consultas otimizadas para desempenho, documentar e aprimorar a lógica de detecção e gerar Fluxos de Ataque com base no relatório mais recente da CERT-UA.
Analisando Ataques UAC-0057 Usando OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES
De acordo com relatórios que resumem o aviso da CERT-UA, a campanha está ativa desde a primavera de 2026 e depende de e-mails grandes de phishing enviados para organizações estatais ucranianas a partir de contas comprometidas pertencentes a funcionários reais. O tema do atrativo é enquadrado em torno da obtenção de certificados via a plataforma educacional Prometheus, o que ajuda os e-mails a parecerem plausíveis para os destinatários e aumenta as chances de interação.
A cadeia de infecção começa com um documento PDF que contém um link ativo levando a um arquivo ZIP. Esse arquivo contém um arquivo JavaScript classificado como OYSTERFRESH. Quando executado, o script exibe texto benigno de isca para a vítima enquanto inicia silenciosamente o fluxo de trabalho malicioso em segundo plano. A partir daí, o OYSTERFRESH executa duas tarefas principais: ele armazena uma carga útil codificada e ofuscada chamada OYSTERBLUES no Registro do Windows e baixa o OYSTERSHUCK, que atua como o componente decodificador para a próxima etapa.
Para a desobfuscação, o OYSTERSHUCK supostamente aplica uma sequência de inversão de strings, ROT13 e decodificação de URL antes de restaurar a carga útil OYSTERBLUES. Uma vez decodificada, a OYSTERBLUES coleta impressões digitais da máquina comprometida, coletando o nome do dispositivo, nome do usuário atual, versão do sistema operacional, tempo de inicialização e lista de processos em execução. Os dados coletados são enviados para um servidor de comando e controle via HTTP POST, e o servidor responde com JavaScript arbitrário que é executado através do eval, dando efetivamente aos operadores controle remoto sobre o host.
Relatórios ligados à CERT-UA indicam ainda que a próxima etapa geralmente envolve a entrega de componentes Cobalt Strike. Isso está alinhado com o comércio mais amplo do UAC-0057 / Ghostwriter documentado pela ESET, que mostra o grupo continuando a usar downloaders de JavaScript entregues por phishing e validação de carga útil por etapas antes de implantar implantes de maior valor. Em outras palavras, o conjunto de ferramentas OYSTER recentemente documentado parece estender um padrão já familiar de pós-comprometimento em vez de substituí-lo.
As escolhas de infraestrutura também sustentam a atribuição. Relatórios sobre o aviso dizem que a camada de comando e controle do ator permanece mascarada atrás do Cloudflare, enquanto muitos dos domínios associados estão registrados na zona .icu. Juntamente com o estilo de ferramentas e o direcionamento da campanha, essas características são consistentes com a atividade rastreada pela CERT-UA como UAC-0057, também conhecido publicamente como Ghostwriter, UNC1151 e FrostyNeighbor.
Contexto do MITRE ATT&CK
Aproveitar o MITRE ATT&CK ajuda a contextualizar a atividade recente de phishing do UAC-0057, direcionada a organizações estatais ucranianas. Com base nos TTPs descritos nos relatórios ligados à CERT-UA, as técnicas ATT&CK mais relevantes provavelmente incluem Link de Spearphishing (T1566.002), Execução de Usuário (T1204), Interpretador de Comando e Script: JavaScript (T1059.007), Armazenamento ou abuso baseado em Registro para preparação de carga útil, Descoberta de Informações do Sistema (T1082), Descoberta de Processo (T1057), Transferência de Ferramentas de Ingressos (T1105) e Comando e Controle sobre Protocolos Web (T1071.001). O provável uso do Cobalt Strike em estágios subsequentes também aponta para oportunidades mais amplas de pós-exploração, persistência e movimento lateral uma vez que a posição inicial é estabelecida.
