Folgen 
Phishing bleibt eines der effektivsten Werkzeuge im Arsenal der Cyberkriminellen, insbesondere wenn Bedrohungsakteure vertrauenswürdige Identitäten missbrauchen, kompromittierte legitime Konten nutzen und bekannte Online-Dienste verwenden, um die Interaktion mit Opfern zu erhöhen. Europol merkt an, dass Phishing-Techniken weiterhin ein Hauptverbreitungsweg für datenstehlende Malware sind, während das neueste Aviso von CERT-UA zeigt, dass dieselbe Social-Engineering-Logik weiterhin gezielt Kampagnen gegen ukrainische staatliche Organisationen antreibt.
In seiner Empfehlung vom 21. Mai 2026 warnte CERT-UA, dass UAC-0057 sein Malware-Toolkit aktualisiert habe und OYSTERFRESH, OYSTERSHUCK und OYSTERBLUES in einer Phishing-Kampagne gegen ukrainische staatliche Organisationen einsetzt. Das Lockmittel-Thema konzentrierte sich auf den Erhalt von Zertifikaten über die Bildungsplattform Prometheus, während die breitere Handwerkskunst mit der langjährigen Aktivitätsgruppe Ghostwriter / FrostyNeighbor / UNC1151 überschneidet, die Sicherheitsforscher weiterhin mit belarussisch-ausgerichteten Spionageoperationen gegen ukrainische Regierungsstellen in Verbindung bringen.
Jüngste Berichte zeigen, dass die Aktivität von Ghostwriter im Jahr 2026 gegen die Ukraine nicht auf eine einzige Infektionskette beschränkt ist. ESET dokumentierte neue Kampagnen vom März 2026, die ukrainische Regierungsorganisationen mit geofenzten PDF-Lockmitteln zum Ziel hatten, die letztendlich Cobalt Strike lieferten und damit unterstrichen, wie der Akteur weiterhin sowohl seine Liefermechanismen als auch seinen Malware-Stack auffrischt. Das neueste UAC-0057-Aviso von CERT-UA passt in dasselbe Muster kontinuierlicher Anpassung, diesmal mit einem neu dokumentierten OYSTER-Toolkit, das durch Phishing-E-Mails verteilt wurde, die von kompromittierten realen Konten gesendet wurden.
Melden Sie sich bei der SOC Prime Platform an, um Ihr Unternehmen proaktiv gegen UAC-0057-Angriffe zu verteidigen. Drücken Sie einfach unten auf ‚Erkunde Erkennungen‘ und greifen Sie auf einen relevanten Erkennungsregel-Stack zu, angereichert mit KI-nativem CTI, kartiert auf das MITRE ATT&CK®-Framework und kompatibel mit einer Vielzahl von SIEM-, EDR- und Data-Lake-Technologien.
Sicherheitsteams können die Threat Detection Marketplace-Bibliothek mithilfe des „UAC-0057“-Tags durchsuchen, um relevante Erkennungen zu identifizieren und verwandte Inhaltsaktualisierungen zu verfolgen. Cyber-Verteidiger können auch auf Uncoder AI zurückgreifen, um neue Bedrohungsberichte in leistungsoptimierte Abfragen umzuwandeln, die Erkennungslogik zu dokumentieren und zu verbessern sowie Attack Flows basierend auf den neuesten CERT-UA-Berichten zu generieren.
Analyse von UAC-0057-Angriffen mit OYSTERFRESH, OYSTERSHUCK und OYSTERBLUES
Laut einer Berichterstattung, die das Aviso von CERT-UA zusammenfasst, ist die Kampagne seit dem Frühjahr 2026 aktiv und beruht auf groß angelegten Phishing-E-Mails, die an ukrainische staatliche Organisationen von kompromittierten Konten realer Mitarbeiter gesendet werden. Das Lockmittel-Thema dreht sich um den Erhalt von Zertifikaten über die Bildungsplattform Prometheus, was den E-Mails hilft, den Empfängern plausibel zu erscheinen und die Wahrscheinlichkeit einer Interaktion zu erhöhen.
Die Infektionskette beginnt mit einem PDF-Dokument, das einen aktiven Link zu einem ZIP-Archiv enthält. Dieses Archiv enthält eine JavaScript-Datei, die als OYSTERFRESH klassifiziert ist. Beim Start zeigt das Skript dem Opfer harmlose Decktext an, während es im Hintergrund leise den bösartigen Workflow startet. Von dort aus führt OYSTERFRESH zwei Hauptaufgaben aus: Es speichert eine kodierte und obfuskierte OYSTERBLUES-Nutzlast in der Windows-Registry und lädt OYSTERSHUCK herunter, das als Decoder-Komponente für die nächste Stufe fungiert.
Für die Entschlüsselung wendet OYSTERSHUCK Berichten zufolge eine Folge von String-Umkehrung, ROT13 und URL-Decodierung an, bevor die OYSTERBLUES-Nutzlast wiederhergestellt wird. Sobald dies entschlüsselt ist, identifiziert OYSTERBLUES die kompromittierte Maschine, indem es den Gerätenamen, den aktuellen Benutzernamen, die Betriebssystemversion, die letzte Bootzeit und die Liste der laufenden Prozesse sammelt. Die gesammelten Daten werden über HTTP POST an einen Kommando- und Kontrollserver gesendet, und der Server antwortet mit willkürlichem JavaScript, das über eval ausgeführt wird, und den Betreibern so eine Fernsteuerung über den Host effektiv ermöglicht.
CERT-UA-verknüpfte Berichterstattung weist weiterhin darauf hin, dass die nächste Stufe üblicherweise die Bereitstellung von Cobalt-Strike-Komponenten beinhaltet. Dies stimmt mit der breiteren UAC-0057 / Ghostwriter-Handwerkskunst überein, die von ESET dokumentiert wurde, und zeigt, dass die Gruppe weiterhin Phishing-übermittelte JavaScript-Downloader und Nutzlastvalidierungen in Stufen verwendet, bevor höherwertige Implantate bereitgestellt werden. Anders ausgedrückt scheint das neu dokumentierte OYSTER-Toolkit ein bereits bekanntes Nach-Kompromiss-Muster zu erweitern, statt es zu ersetzen.
Die Infrastrukturwahl unterstützt auch die Zuordnung. Berichte über die Mitteilung sagen, dass die Kommando- und Kontrollschicht des Akteurs weiterhin hinter Cloudflare verschleiert ist, während viele der zugeordneten Domains in der .icu-Zone registriert sind. Zusammen mit dem Werkzeugstil und der Zielrichtung der Kampagne sind diese Merkmale konsistent mit Aktivitäten, die von CERT-UA als UAC-0057 verfolgt werden, auch bekannt als Ghostwriter, UNC1151 und FrostyNeighbor.
MITRE ATT&CK Kontext
Die Nutzung von MITRE ATT&CK hilft, die neueste UAC-0057-Phishing-Aktivität in Zusammenhang zu setzen, die auf ukrainische staatliche Organisationen abzielt. Basierend auf den TTPs, die in CERT-UA-verknüpften Berichten beschrieben sind, beinhalten die relevantesten ATT&CK-Techniken wahrscheinlich Spearphishing Link (T1566.002), User Execution (T1204), Command and Scripting Interpreter: JavaScript (T1059.007), Registrierungsgestützte Speicherung oder Missbrauch für Nutzlastbereitstellung, System Information Discovery (T1082), Process Discovery (T1057), Ingress Tool Transfer (T1105) und Kommando- und Kontrolle über Webprotokolle (T1071.001). Der wahrscheinliche Einsatz von Cobalt-Strike in den nachfolgenden Stadien weist auch auf breitere Möglichkeiten zur Ausnutzung, Persistenz und seitlichen Bewegung hin, sobald die anfängliche Eindringposition geschaffen ist.
