팔로우 
피싱은 사이버 범죄자들이 신뢰받는 정체성, 타협된 합법적 계정, 익숙한 온라인 서비스를 남용하여 피해자 상호작용을 증가시킬 때 매우 효과적인 도구 중 하나로 남아 있습니다. Europol은 피싱 기술이 여전히 데이터 절취 멀웨어의 주요 배포 벡터로 남아 있다고 지적하며, CERT-UA의 최신 권고는 같은 사회공학 논리가 우크라이나 공공 부문 조직을 대상으로 하는 목표 캠페인을 계속 주도하고 있다고 보여줍니다.
2026년 5월 21일 자 권고에서 CERT-UA는 UAC-0057이 멀웨어 툴킷을 업데이트하고 OYSTERFRESH, OYSTERSHUCK, OYSTERBLUES를 사용하여 우크라이나 국가 조직을 대상으로 한 피싱 캠페인을 수행하고 있다고 경고했습니다. 유혹 테마는 Prometheus 교육 플랫폼을 통해 인증서를 얻는 것을 중심으로 하였으며, 이는 연구자들이 벨라루스와 연관된 스파이 활동으로 우크라이나 정부 기관을 상대로 하는 Ghostwriter / FrostyNeighbor / UNC1151 활동 클러스터와의 오랜 상호작용과 일치합니다.
최신 보도에 따르면 2026년 Ghostwriter의 우크라이나에 대한 활동은 단일 감염 체인에 국한되지 않습니다. ESET는 2026년 3월 캠페인이 우크라이나 정부 기관을 타겟으로 하여 지오펜스 PDF 유혹을 사용하여 Cobalt Strike를 전달하는 것을 문서화하면서, 해당 공격자가 배포 메커니즘과 멀웨어 스택을 지속적으로 갱신하고 있음을 보여줍니다. CERT-UA의 최신 UAC-0057 권고는 같은 지속적 적응 패턴에 들어맞으며 이번에는 피싱 이메일을 통해 타협된 실제 계정에서 발송된 새롭게 문서화된 OYSTER 브랜드 툴셋을 포함합니다.
SOC Prime Platform에 가입하여 UAC-0057 공격에 대해 사전 방어하세요. 아래의 탐색 경고를 눌러, AI 네이티브 CTI로 풍부해진 관련 검출 규칙 스택에 액세스하세요. 이 규칙은 MITRE ATT&CK® 프레임워크와 매핑되어 다양한 SIEM, EDR, 데이터 호수 기술과 호환됩니다.
보안 팀은 ‘UAC-0057’ 태그를 사용하여 위협 탐지 마켓플레이스 라이브러리를 검색하여 관련 탐지를 식별하고 관련 콘텐츠 업데이트를 추적할 수 있습니다. 사이버 방어자는 Uncoder AI를 사용하여 최신 위협 보고서를 성능 최적화된 쿼리로 변환하고, 탐지 로직을 문서화 및 개선하며, 최신 CERT-UA 보고에 기반하여 공격 흐름을 생성할 수도 있습니다.
OYSTERFRESH, OYSTERSHUCK, OYSTERBLUES를 사용한 UAC-0057 공격 분석
CERT-UA의 권고를 요약하는 보도에 따르면, 이 캠페인은 2026년 봄부터 활발하게 진행되어왔으며, 실제 직원의 타협된 계정에서 발송된 대규모 피싱 이메일에 의존하고 있습니다. 유혹 테마는 Prometheus 교육 플랫폼을 통한 인증서 획득을 중심으로 하며, 이를 통해 이메일이 수신자에게 믿을 수 있게 보이고 상호작용 확률을 높입니다.
감염 체인은 활성 링크가 포함된 PDF 문서에서 시작됩니다. 이 링크를 클릭하면 ZIP 아카이브로 연결됩니다. 아카이브에는 OYSTERFRESH로 분류된 자바스크립트 파일이 포함되어 있으며, 실행하면 스크립트가 피해자에게 무해한 미끼 텍스트를 표시하며 배경에서 악성 작업 흐름을 조용히 시작합니다. 그 후 OYSTERFRESH는 두 가지 주요 작업을 수행합니다: 인코딩 및 난독화된 OYSTERBLUES 페이로드를 Windows 레지스트리에 저장하고, 다음 단계의 디코더 구성 요소로 작동하는 OYSTERSHUCK를 다운로드합니다.
디난독화를 위해 OYSTERSHUCK는 보고된 바에 따르면 문자열 뒤집기, ROT13 및 URL 디코딩 순차를 적용하여 OYSTERBLUES 페이로드를 복원합니다. 디코딩 후 OYSTERBLUES는 장치 이름, 현재 사용자 이름, 운영 체제 버전, 마지막 부팅 시간 및 실행 중인 프로세스 목록을 수집하여 타협된 머신의 지문을 채집합니다. 수집된 데이터는 HTTP POST를 통해 명령 및 제어 서버에 전송되고, 서버는 eval을 통해 실행되는 임의의 JavaScript로 응답하여 운영자가 원격에서 호스트를 제어할 수 있게 합니다.
CERT-UA와 관련된 보고는 다음 단계가 일반적으로 Cobalt Strike 구성 요소의 제공을 포함한다고 추가로 나타냅니다. 이는 ESET가 문서화한 UAC-0057 / Ghostwriter의 광범위한 기술과 일치하며, 그룹이 피싱 전달된 자바스크립트 다운로드 및 높은 가치의 이식 프로그램을 배포하기 전의 단계별 페이로드 검증을 계속 사용하는 모습을 보여줍니다. 즉, 새롭게 문서화된 OYSTER 툴셋은 익숙한 포스트 컴프라미스 패턴을 확장하는 것으로 보이며 이를 대체하지는 않습니다.
인프라 선택도 귀속을 지원합니다. 권고에 관한 보도는 공격자의 명령 및 제어 레이어가 Cloudflare 뒤에 가려져 있으며, 관련 도메인 중 다수가 .icu 존에 등록되어 있다고 말합니다. 캠페인의 도구화 스타일 및 타겟팅과 함께 이러한 특징들은 CERT-UA가 UAC-0057로 추적한 활동과 일치하며, 이는 공공에서 Ghostwriter, UNC1151, FrostyNeighbor로도 알려져 있습니다.
MITRE ATT&CK 컨텍스트
MITRE ATT&CK를 활용하면 우크라이나 국가 조직을 대상으로 하는 최신 UAC-0057 피싱 활동을 맥락화할 수 있습니다. CERT-UA와 연관된 보고서에서 설명한 TTP에 기초하여, 가장 관련 있는 ATT&CK 기술은 Spearphishing Link (T1566.002), User Execution (T1204), Command and Scripting Interpreter: JavaScript (T1059.007), 페이로드 사전 저장 또는 악용, System Information Discovery (T1082), Process Discovery (T1057), Ingress Tool Transfer (T1105), 및 Web Protocol을 통한 Command and Control (T1071.001)을 포함할 가능성이 큽니다. 이어지는 단계에서의 Cobalt Strike 사용은 초기 발판이 마련된 후 확장된 포스트 익스플로잇, 지속성 및 측면 이동 가능성도 가리킵니다.
