Угруповання Ghostwriter (також відстежується як UAC-0057 і UNC1151), яке пов’язують з Білоруссю, проводить фішингову кампанію проти державних організацій України, використовуючи як приманку тематику української освітньої платформи Prometheus. За даними CERT-UA, зловмисники розсилають фішингові листи зі скомпрометованих облікових записів, а ланцюжок зараження включає нове сімейство шкідливого ПЗ з компонентами OYSTERFRESH, OYSTERBLUES і OYSTERSHUCK, кінцевою метою яких є розгортання фреймворку Cobalt Strike. Кампанія, за повідомленнями, активна з весни 2026 року, і організаціям державного сектору України рекомендовано негайно обмежити виконання wscript.exe для стандартних користувачів.

Ланцюжок зараження: від PDF до Cobalt Strike

Згідно зі звітом CERT-UA, типовий напад починається з фішингового листа, надісланого зі скомпрометованого облікового запису. Лист містить PDF-вкладення з посиланням, при переході за яким завантажується ZIP-архів із JavaScript-файлом.

Шкідливий JavaScript-файл, що отримав назву OYSTERFRESH, виконує кілька паралельних завдань:

• відображає документ-приманку, аби відволікти увагу користувача
• записує обфусковане й зашифроване корисне навантаження OYSTERBLUES до реєстру Windows
• завантажує й запускає компонент OYSTERSHUCK, відповідальний за розшифрування OYSTERBLUES

Після активації OYSTERBLUES збирає системну інформацію: ім’я комп’ютера, обліковий запис користувача, версію ОС, час останнього завантаження системи та список запущених процесів. Зібрані дані передаються на командний сервер (C2) через HTTP POST-запит.

Далі шкідливе ПЗ очікує відповіді від C2, що містить JavaScript-код наступного етапу, який виконується через функцію eval(). За оцінкою CERT-UA, фінальним корисним навантаженням є Cobalt Strike — фреймворк, спочатку призначений для тестування на проникнення, але широко використовуваний зловмисниками для постексплуатаційних дій.

Профіль угруповання та контекст загрози

Ghostwriter — угруповання, яке дослідники пов’язують з Білоруссю. Воно систематично націлюється на українські державні структури, а використання скомпрометованих поштових акаунтів для розсилки фішингу відповідає раніше спостережуваним тактикам цієї групи. Вибір освітньої платформи Prometheus як приманки свідчить про цілеспрямований підхід: тематика онлайн-навчання викликає довіру в працівників державних організацій, які можуть користуватися подібними платформами для підвищення кваліфікації.

Показовою є архітектура шкідливого ПЗ: розподіл функцій між трьома компонентами (завантажувач, зашифроване корисне навантаження в реєстрі, дешифрувальник) ускладнює виявлення. Зберігання OYSTERBLUES у реєстрі Windows, а не у файловій системі, дозволяє обходити низку засобів захисту, орієнтованих на файловий аналіз.

Ширший контекст: ШІ в арсеналі зловмисників

Паралельно з викриттям кампанії Ghostwriter Рада національної безпеки і оборони України оприлюднила звіт, у якому, згідно з наявними даними, зазначається використання російськими угрупованнями інструментів штучного інтелекту — зокрема, OpenAI ChatGPT і Google Gemini — для розвідки цілей і вбудовування технологій ШІ у шкідливе ПЗ для генерації команд під час виконання. Згідно з цим документом, основними векторами початкового проникнення у 2025 році були соціальна інженерія, експлуатація вразливостей, використання скомпрометованих облікових записів RDP і VPN, атаки на ланцюжки постачання, а також неліцензійне ПЗ із вбудованими бекдорами.

Слід враховувати, що твердження про використання ШІ в кібератаках ґрунтуються на урядовому звіті й не підтверджені незалежними технічними дослідженнями.

Оцінка впливу

Основною цільовою аудиторією атаки є державні організації України. Розгортання Cobalt Strike як фінального корисного навантаження свідчить, що зловмисники прагнуть до довгострокового закріплення в мережі з можливістю латерального переміщення, ексфільтрації даних і подальшого розширення доступу. Використання скомпрометованих поштових акаунтів підвищує ефективність фішингу, оскільки листи надходять від довірених відправників.

Рекомендації із захисту

CERT-UA рекомендує такі заходи для зниження ризику:

• Обмежити виконання wscript.exe для стандартних облікових записів користувачів — це пряма рекомендація CERT-UA, що блокує ключовий елемент ланцюжка зараження
• Налаштувати політики обмеження запуску скриптів (Software Restriction Policies або AppLocker) для блокування виконання JavaScript-файлів із тимчасових директорій та користувацьких папок
• Посилити моніторинг записів у реєстрі Windows — виявлення великих обфускованих даних у нетипових ключах реєстру може вказувати на активність OYSTERBLUES
• Перевірити поштові системи на ознаки компрометації облікових записів, особливо акаунти з доступом до розсилок по державних організаціях
• Блокувати завантаження ZIP-архівів за посиланнями з PDF-вкладень на рівні поштового шлюзу або проксі-сервера
• Відстежувати HTTP POST-запити до нетипових зовнішніх серверів, що можуть вказувати на C2-комунікації

Кампанія Ghostwriter із використанням сімейства OYSTER демонструє багатоступеневий підхід до зараження, за якого кожен компонент виконує вузьку функцію, ускладнюючи виявлення. Пріоритетна дія для адміністраторів українських державних мереж — негайне обмеження запуску wscript.exe через групові політики для всіх стандартних користувачів, а також аудит поштових облікових записів на предмет несанкціонованого доступу.