Группировка Ghostwriter (также отслеживаемая как UAC-0057 и UNC1151), связываемая с Беларусью, проводит фишинговую кампанию против государственных организаций Украины, используя в качестве приманки тематику украинской образовательной платформы Prometheus. По данным CERT-UA, атакующие рассылают фишинговые письма с скомпрометированных учётных записей, а цепочка заражения включает новое семейство вредоносного ПО с компонентами OYSTERFRESH, OYSTERBLUES и OYSTERSHUCK, конечной целью которых является развёртывание фреймворка Cobalt Strike. Кампания, как сообщается, активна с весны 2026 года, и организациям государственного сектора Украины рекомендуется немедленно ограничить выполнение wscript.exe для стандартных пользователей.

Цепочка заражения: от PDF до Cobalt Strike

Согласно отчёту CERT-UA, типичная атака начинается с фишингового письма, отправленного со скомпрометированной учётной записи. Письмо содержит PDF-вложение со ссылкой, при переходе по которой загружается ZIP-архив с JavaScript-файлом.

Вредоносный JavaScript-файл, получивший название OYSTERFRESH, выполняет несколько параллельных задач:

• Отображает документ-приманку для отвлечения внимания пользователя
• Записывает обфусцированную и зашифрованную полезную нагрузку OYSTERBLUES в реестр Windows
• Загружает и запускает компонент OYSTERSHUCK, отвечающий за расшифровку OYSTERBLUES

После активации OYSTERBLUES собирает системную информацию: имя компьютера, учётную запись пользователя, версию ОС, время последней загрузки системы и список запущенных процессов. Собранные данные передаются на командный сервер (C2) через HTTP POST-запрос.

Далее вредонос ожидает ответ от C2, содержащий JavaScript-код следующего этапа, который исполняется через функцию eval(). По оценке CERT-UA, финальной полезной нагрузкой является Cobalt Strike — фреймворк, изначально предназначенный для тестирования на проникновение, но широко используемый злоумышленниками для постэксплуатационных действий.

Профиль группировки и контекст угрозы

Ghostwriter — группировка, которую исследователи связывают с Беларусью. Она систематически нацелена на украинские государственные структуры, и использование скомпрометированных почтовых аккаунтов для рассылки фишинга соответствует ранее наблюдавшимся тактикам этой группы. Выбор образовательной платформы Prometheus в качестве приманки указывает на целенаправленный подход: тематика онлайн-обучения вызывает доверие у сотрудников государственных организаций, которые могут использовать подобные платформы для повышения квалификации.

Примечательна архитектура вредоносного ПО: разделение функций между тремя компонентами (загрузчик, зашифрованная полезная нагрузка в реестре, дешифровщик) усложняет обнаружение. Хранение OYSTERBLUES в реестре Windows, а не в файловой системе, позволяет обходить ряд средств защиты, ориентированных на файловый анализ.

Широкий контекст: ИИ в арсенале атакующих

Параллельно с раскрытием кампании Ghostwriter, Совет национальной безопасности и обороны Украины опубликовал отчёт, в котором, по имеющимся данным, указывается на использование российскими группировками инструментов искусственного интеллекта — в частности, OpenAI ChatGPT и Google Gemini — для разведки целей и встраивания ИИ-технологий в вредоносное ПО для генерации команд во время выполнения. Согласно этому документу, основными векторами первоначального проникновения в 2025 году были социальная инженерия, эксплуатация уязвимостей, использование скомпрометированных учётных записей RDP и VPN, атаки на цепочки поставок, а также нелицензионное ПО со встроенными бэкдорами.

Следует учитывать, что утверждения об использовании ИИ в кибератаках основаны на правительственном отчёте и не подтверждены независимыми техническими исследованиями.

Оценка воздействия

Основной целевой аудиторией атаки являются государственные организации Украины. Развёртывание Cobalt Strike в качестве финальной полезной нагрузки предполагает, что атакующие стремятся к долгосрочному закреплению в сети с возможностью латерального перемещения, эксфильтрации данных и дальнейшего расширения доступа. Использование скомпрометированных почтовых аккаунтов повышает эффективность фишинга, поскольку письма приходят от доверенных отправителей.

Рекомендации по защите

CERT-UA рекомендует следующие меры для снижения риска:

• Ограничить выполнение wscript.exe для стандартных учётных записей пользователей — это прямая рекомендация CERT-UA, блокирующая ключевой элемент цепочки заражения
• Настроить политики ограничения запуска скриптов (Software Restriction Policies или AppLocker) для блокировки выполнения JavaScript-файлов из временных директорий и пользовательских папок
• Усилить мониторинг записей в реестр Windows — обнаружение крупных обфусцированных данных в нетипичных ключах реестра может указывать на активность OYSTERBLUES
• Проверить почтовые системы на признаки компрометации учётных записей, особенно аккаунты с доступом к рассылкам по государственным организациям
• Блокировать загрузку ZIP-архивов по ссылкам из PDF-вложений на уровне почтового шлюза или прокси-сервера
• Отслеживать HTTP POST-запросы к нетипичным внешним серверам, которые могут указывать на C2-коммуникации

Кампания Ghostwriter с использованием семейства OYSTER демонстрирует многоступенчатый подход к заражению, при котором каждый компонент выполняет узкую функцию, затрудняя обнаружение. Приоритетное действие для администраторов украинских государственных сетей — немедленное ограничение запуска wscript.exe через групповые политики для всех стандартных пользователей, а также аудит почтовых учётных записей на предмет несанкционированного доступа.