Стежити 
Фішинг залишається одним із найефективніших інструментів у арсеналі кіберзлочинців, особливо коли зловмисники використовують довірені ідентичності, скомпрометовані легітимні облікові записи та знайомі онлайн-сервіси для збільшення залучення жертв. Europol зазначає, що фішингові техніки залишаються головним каналом розповсюдження для шкідливого ПЗ, яке краде дані, тоді як останній консультаційний звіт CERT-UA показує, що той самий принцип соціальної інженерії продовжує стимулювати цілеспрямовані кампанії проти українських організацій у державному секторі.
У своєму попередженні від 21 травня 2026 року CERT-UA попередила, що UAC-0057 оновила свій набір інструментів зловмисного ПЗ та використовувала OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES у фішинговій кампанії, спрямованій на українські державні організації. Тематика приманки зосереджувалася на отриманні сертифікатів через освітню платформу Prometheus, тоді як ширша тактика співпадає з тривалим кластером активності Ghostwriter / FrostyNeighbor / UNC1151, який дослідники безпеки продовжують пов’язувати з операціями шпигунства, що узгоджуються з Білоруссю, проти урядових структур України.
Останні звіти показують, що активність Ghostwriter у 2026 році проти України не обмежується єдиним ланцюгом зараження. ESET задокументувала нові кампанії у березні 2026 року, спрямовані проти українських урядових організацій з геообмеженими PDF-приманками, які зрештою доставляли Cobalt Strike, підкреслюючи, як цей актор продовжує оновлювати як свої механізми доставки, так і свій набір шкідливого ПЗ. Останнє попередження UAC-0057 від CERT-UA відповідає цій самій моделі постійної адаптації, цього разу з новим набором інструментів під брендом OYSTER, розповсюдженим через фішингові електронні листи, надіслані зі скомпрометованих реальних акаунтів.
Зареєструйтеся на платформі SOC Prime, щоб активно захищати свою організацію від атак UAC-0057. Просто натисніть «Досліджувати виявлення» нижче та отримайте доступ до відповідного пакету правил виявлення, збагаченого AI-нативною CTI, з відображенням на фреймворк MITRE ATT&CK®, і сумісного з широким спектром технологій SIEM, EDR і Data Lake.
Команди безпеки можуть шукати в бібліотеці Threat Detection Marketplace, використовуючи тег «UAC-0057», щоб ідентифікувати відповідні виявлення та відстежувати оновлення пов’язаного контенту. Кіберзахисники також можуть покладатися на Uncoder AI, щоб перетворювати нові звіти про загрози в оптимізовані запити, документувати та покращувати логіку виявлення і створювати Attack Flows на основі останніх звітів CERT-UA.
Аналіз атак UAC-0057 з використанням OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES
Згідно з повідомленням, що підсумовує консультаційний звіт CERT-UA, кампанія активна з весни 2026 року і базується на широкомасштабних фішингових електронних листах, надісланих українським державним організаціям зі скомпрометованих облікових записів, що належать реальним співробітникам. Тематика приманки побудована навколо отримання сертифікатів через освітню платформу Prometheus, що допомагає зробити електронні листи більш правдоподібними для отримувачів і збільшує шанси на взаємодію.
Ланцюг зараження починається з PDF-документа, який містить активне посилання, що веде до ZIP-архіву. Цей архів містить файл JavaScript, класифікований як OYSTERFRESH. Коли запускається, скрипт відображає безпечний текст приманки жертві, одночасно тихо запускаючи зловмисний робочий процес у фоновому режимі. Звідти OYSTERFRESH виконує два основних завдання: зберігає закодований і обфусцирований завантажений OYSTERBLUES у реєстрі Windows і завантажує OYSTERSHUCK, що виступає в ролі декодувального компонента для наступного етапу.
Для деобфускації, OYSTERSHUCK, за повідомленнями, застосовує послідовність реверсії строк, ROT13 та декодування URL, перед відновленням завантаженого OYSTERBLUES. Після декодування, OYSTERBLUES виконує відбиття скомпрометованої машини, збирання імені пристрою, поточного імені користувача, версії операційної системи, часу останнього завантаження та списку процесів, що виконуються. Зібрані дані відправляються на сервер командування та управління через HTTP POST, і сервер відповідає довільним JavaScript, який виконується через eval, фактично надаючи операторам дистанційний контроль над хостом.
Звіти, пов’язані з CERT-UA, додатково зазначають, що наступний етап зазвичай передбачає доставку компонентів Cobalt Strike. Це узгоджується з ширшою тактикою UAC-0057 / Ghostwriter, задокументованою ESET, яка показує, що група продовжує використовувати фішингові завантажувачі JavaScript і етапну перевірку завантажених даних перед розгортанням імплантів вищої цінності. Іншими словами, новий набір інструментів OYSTER здається таким, що подовжує вже знайому пост-компрометаційну модель, а не замінює її.
Вибір інфраструктури також підтримує атрибуцію. У звіті про консультаційний звіт зазначається, що рівень командування та управління актора і далі приховується за Cloudflare, тоді як багато з пов’язаних доменів зареєстровано в зоні .icu. Разом зі стилем інструментарію кампанії та цілеспрямованістю ці характеристики відповідають активності, відслідковуваній CERT-UA як UAC-0057, також відому публічно як Ghostwriter, UNC1151 і FrostyNeighbor.
Контекст MITRE ATT&CK
Використання MITRE ATT&CK допомагає контекстуалізувати останню фішингову активність UAC-0057, спрямовану на українські державні організації. На основі методів, описаних у звітах, пов’язаних з CERT-UA, найбільш відповідні техніки ATT&CK, ймовірно, включають Спірафішинг-посилання (T1566.002), Виконання користувачем (T1204), Інтерпретатор команд і скриптів: JavaScript (T1059.007), Зберігання або зловживання реєстром для етапної підготовки завантажень, Виявлення системної інформації (T1082), Виявлення процесів (T1057), Передача інструментів через вхід (T1105), а також Командування та управління через веб-протоколи (T1071.001). Ймовірне використання Cobalt Strike в подальших етапах також вказує на ширші можливості післяексплуатаційного впровадження, збереження і латерального переміщення після встановлення початкової опори.
