フォローする 
フィッシングはサイバー犯罪者の武器庫の中でも最も効果的なツールの一つであり、特に攻撃者が信頼されるアイデンティティを悪用し、正当なアカウントを乗っ取ったり、馴染みのあるオンラインサービスを利用して、犠牲者とのインタラクションを増やす場合に効果的です。Europolは、フィッシング手法がデータを盗むマルウェアの主な拡散手段として残っていると指摘し、CERT-UAの最新の勧告は、同じ社会工学のロジックがウクライナの公共部門機関を対象としたキャンペーンを推進し続けていることを示しています。
CERT-UAは2026年5月21日付の勧告で、UAC-0057がマルウェアツールキットを更新し、ウクライナの国家機関を狙ったフィッシングキャンペーンでOYSTERFRESH、OYSTERSHUCK、OYSTERBLUESを使用していると警告しました。おとりのテーマはPrometheus教育プラットフォームを通じた証明書の取得に集中しており、より広範な作戦手法は、セキュリティ研究者がベラルーシに関連するウクライナ政府機関に対する諜報活動と関連付ける長期にわたるGhostwriter/FrostyNeighbor/UNC1151活動クラスターと重複しています。
最近の報告によれば、Ghostwriterによる2026年のウクライナへの活動は単一の感染チェーンに限定されていません。ESETは2026年3月のキャンペーンがウクライナの政府機関を標的にした、地理的に限定されたPDFの誘引を使い、最終的にCobalt Strikeを配信していた事例を文書化しました。これにより、アクターが配信メカニズムとマルウェアスタックを継続的に刷新し続けていることが明らかになりました。CERT-UAの最新のUAC-0057勧告も同様のパターンに適合しており、今回はフィッシングメールで配布される新たに文書化されたOYSTERブランドのツールセットを伴っています。
SOC Primeプラットフォームに登録してUAC-0057攻撃から組織を積極防御しましょう。下の「Explore Detections」を押すことで、AIネイティブのCTIで充実した関連する検出ルールスタックにアクセスでき、MITRE ATT&CK®フレームワークにマッピングし、広範なSIEM、EDR、Data Lakeテクノロジーと互換性があります。
セキュリティチームは「UAC-0057」タグを使用してThreat Detection Marketplaceライブラリを検索し、関連検出を特定し、関連コンテンツ更新を追跡できます。サイバー防御者は、Uncoder AIを活用して新しい脅威レポートをパフォーマンス最適化されたクエリに変換したり、検出ロジックを文書化・改善したり、最新のCERT-UAレポートに基づくAttack Flowsを生成したりすることもできます。
OYSTERFRESH、OYSTERSHUCK、およびOYSTERBLUESを使用したUAC-0057攻撃の分析
CERT-UAの勧告を要約した報告によれば、このキャンペーンは2026年春から活動しており、実在する社員のアカウントからウクライナの国家機関に送られる大規模なフィッシングメールに依存しています。おとりのテーマはPrometheus教育プラットフォームを通じた証明書の取得に基づいており、これによって受信者にとってメールがもっともらしく思えるようにし、インタラクションの確率を高めています。
感染チェーンは、ZIPアーカイブへのアクティブリンクを含むPDF文書から始まります。そのアーカイブには、OYSTERFRESHとして分類されるJavaScriptファイルが含まれています。起動すると、そのスクリプトは被害者に無害なおとりテキストを表示する一方で、背景で悪質なワークフローを静かに開始します。そこからOYSTERFRESHは主に2つのタスクを実行します。Windowsレジストリにエンコードされて難読化されたOYSTERBLUESペイロードを格納し、次のステージのデコーダーコンポーネントとして機能するOYSTERSHUCKをダウンロードします。
OYSTERSHUCKは解難読化のために、文字列反転、ROT13、URLデコードのシーケンスを適用してOYSTERBLUESペイロードを復元すると報告されています。デコードされた後、OYSTERBLUESはデバイス名、現在のユーザー名、オペレーティングシステムのバージョン、最後のブート時間、実行中のプロセス一覧を収集して、侵害されたマシンのフィンガープリントを取得します。収集されたデータはHTTP POSTを介してコマンド・アンド・コントロールサーバーに送信され、そのサーバーは任意のJavaScriptで応答し、evalによって実行されることで、オペレーターにホスト上でのリモートコントロールを提供します。
CERT-UAに関連する報告では、次のステージで一般的にCobalt Strikeコンポーネントが配信されることが示されています。これは、ESETによって文書化されたUAC-0057 / Ghostwriterのより広い範囲の作戦能力と一致しています。このグループがフィッシングによって配信されるJavaScriptダウンローダーと段階的なペイロード検証を引き続き使用していることを示しています。言い換えれば、これまでによく知られている後侵害パターンを拡張するものであり、置き換えるものではないということです。
インフラストラクチャの選択も帰属を支えています。勧告に関する報告では、アクターのコマンド・アンド・コントロールレイヤーがCloudflareの背後にマスクされている一方で、関連する多くのドメインが.icuゾーンに登録されているとされています。このキャンペーンのツーリングスタイルとターゲティングと併せて、これらの特徴はGhostwriter、UNC1151、FrostyNeighborとしても公に知られているUAC-0057としてCERT-UAが追跡している活動と一致しています。
MITRE ATT&CKコンテキスト
MITRE ATT&CKを活用することで、ウクライナの国家機関を狙った最新のUAC-0057フィッシング活動を文脈化するのに役立ちます。CERT-UAに関連する報告で記載されたTTPsに基づき、最も関連性の高いATT&CKテクニックには、スピアフィッシングリンク(T1566.002)、ユーザー実行(T1204)、コマンド&スクリプトインタープリター:JavaScript(T1059.007)、ペイロードのステージング目的のレジストリベースの保存または悪用、システム情報の発見(T1082)、プロセス発見(T1057)、ツールの侵入(T1105)、およびWebプロトコルを介したコマンド&コントロール(T1071.001)が含まれる可能性があります。続く段階でのCobalt Strikeの使用は、初期の足場が確立されると、より広範な後利用、永続性、および横方向の移動の機会を指摘しています。
