В Україні зафіксовано нову хвилю кібератак, що загрожує безпеці державних органів. Зловмисники використовують ім’я популярної освітньої платформи Prometheus для введення в оману співробітників держструктур. За інформацією кіберполіції, хакери надсилають електронні листи з шкідливими вкладеннями, які маскуються під офіційні комунікації від названого сервісу. Ця схема є частиною більш широкої тенденції до використання соціальної інженерії, коли злочинці намагаються експлуат
Державна команда реагування на комп’ютерні надзвичайні події України CERT-UAзафіксуваламасову хвилю цілеспрямованих кібератак (Spear-Phishing) на державні установи та організації. Організатором кампанії виступає відоме угруповання UAC-0057 (також відоме як UNC1151).
Для проведення розсилки хакери використовують витончену тактику: вони відправляють шкідливі листи не зі своїх серверів, а через уже скомпрометовані облікові записи реальних українських підприємств та організацій. Це дозволяє їм легко обходити базові спам-фільтри поштових сервісів.
Зловмисники розсилають електронні листи з темою про нібито успішне генерування сертифіката про завершення навчання на популярній онлайн-платформі Prometheus.
Процес інфікування комп’ютера жертви відбувається у кілька етапів:
Документ-приманка: До листа додано PDF-файл, який візуально копіює офіційне сповіщення Prometheus. Усередині тексту зашито посилання.
Завантаження архіву: При натисканні на посилання на ПК користувача завантажується ZIP-архів, який містить небезпечний JavaScript-файл.
Запуск OYSTERFRESH: Цей JS-файл запускає шкідливий компонент, який паралельно відкриває легітимний документ-приманку (щоб у користувача не виникло підозр) та розпочинає інфікування операційної системи.
Обфускація через OYSTERBLUES та OYSTERSHUCK: Система записує в реєстр Windows у зашифрованому вигляді шкідливий код OYSTERBLUES. Для його розшифрування на льоту запускається декодер OYSTERSHUCK, який послідовно застосовує складні математичні алгоритми: реверсування рядків, перетворення тексту ROT13 та стандартне URL-декодування.
Збір даних та шпигунство: Активований OYSTERBLUES миттєво збирає критичні дані про ПК жертви (ім’я пристрою, обліковий запис, версію ОС, точний час останнього завантаження та повний перелік запущених процесів) і відправляє їх на командний сервер через HTTP POST-запит.
Фінал (Cobalt Strike): У відповідь сервер надсилає JS-код, який виконується через системну функцію eval. На фінальній стадії на комп’ютер довантажується легітимний фреймворк для пентесту Cobalt Strike, який у руках хакерів перетворюється на ультимативний інструмент віддаленого управління пристроєм.
Експерти CERT-UA зазначають, що зловмисники з UAC-0057 традиційно маскують свої командні сервери за сервісами захисту Cloudflare, а переважна більшість доменних імен, які вони реєструють для атак, відносяться до дешевої доменної зони верхнього рівня .icu.
Щоб мінімізувати поверхню атаки та заблокувати виконання шкідливих JavaScript-сценаріїв звичайними користувачами, технічним службам державних установ та комерційного бізнесу рекомендується:
Головний крок: На рівні групових політик ОС обмежити або повністю заблокувати можливість запуску утиліти wscript.exe для облікових записів звичайних користувачів (це унеможливить автоматичне виконання JS-файлів з архівів).
Посилений моніторинг: Налаштувати системи захисту мережі (EDR/SIEM) на виявлення підозрілих HTTP POST-запитів до доменів у зоні .icu.
Кібергігієна: Провести оперативний інструктаж персоналу: не відкривати посилання з PDF-файлів, що прийшли від платформ навчання, та завжди перевіряти статус сертифікатів безпосередньо у своєму особистому кабінеті на сайті Prometheus, а не через пошту.
Для HiTech Expert ми резюмуємо: травнева атака UAC-0057 вкотре доводить, що найслабшою ланкою в системі безпеки залишається людина. Використання ROT13 та Cloudflare для приховування OYSTER-компонентів — це серйозний рівень підготовки. На тлі того, що в Україні28 травня стартує великий 2U Tech Forumз окремою сценою Defense Stage, такі інциденти чітко підсвічують головні завдання для нашого кіберфронту. Захист від Cobalt Strike вимагає від бізнесу та держорганів негайного переходу на архітектуру нульової довіри (Zero Trust).