Весенняя фишинговая кампания UNC1151: цепочка OYSTERFRESH нацелилась на украинские госорганы

Письмо приходит с подлинного, но ранее взломанного адреса, что значительно повышает доверие получателя. Внутри находится PDF-документ с активной ссылкой, ведущей на ZIP-архив. Этот архив содержит JS-файл, который специалисты классифицировали как OYSTERFRESH. При запуске скрипт отображает перед пользователем безобидный текст-приманку, тем самым маскируя свою настоящую активность. Именно с этого момента начинается цепочка заражения, характерная для данной кампании.

OYSTERFRESH выполняет две ключевые задачи. Во‑первых, он записывает в реестр операционной системы закодированную и обфусцированную полезную нагрузку, обозначенную как OYSTERBLUES. Во‑вторых, скрипт загружает и запускает компонент OYSTERSHUCK, который выступает в роли декодера для OYSTERBLUES. Для расшифровки последовательно применяются реверс строки, преобразование ROT13 и URL-декодирование. Такая цепочка затрудняет обнаружение классическими сигнатурными методами антивирусов. Специалисты CERT-UA документировали каждый этап, включая образцы писем и код вредоносных модулей.

После успешного декодирования OYSTERBLUES приступает к сбору информации о заражённом компьютере. Он получает имя устройства, имя учётной записи текущего пользователя, версию операционной системы, время последней загрузки и перечень запущенных процессов. Все эти данные отправляются на сервер управления в виде HTTP POST-запроса. В ответ сервер возвращает произвольный JavaScript-код, который исполняется через функцию eval. Таким образом злоумышленники получают полноценный удалённый доступ к системе. Следующим шагом, как правило, становится загрузка компонентов фреймворка Cobalt Strike.

Инфраструктура группы UNC1151 традиционно скрывается за сервисами Cloudflare, что усложняет идентификацию реальных IP-адресов серверов управления. Большинство используемых доменных имён зарегистрировано в зоне .icu. Эти особенности позволяют экспертам с высокой долей уверенности приписывать атаки именно UAC-0057. Ранее данная группа уже проявляла активность против государственных структур и военных ведомств Украины, а также польских органов власти.

Последствия успешной атаки могут быть крайне серьёзными. Закрепление в системе через компоненты Cobalt Strike даёт злоумышленникам возможность развёртывать дополнительное вредоносное программное обеспечение, похищать документы и учётные данные, а также передвигаться по внутренней сети. Учитывая, что жертвами становятся государственные организации, утечка конфиденциальной информации или компрометация критически важных систем способна нанести прямой ущерб национальной безопасности.

Для снижения риска реализации описанной угрозы специалисты рекомендуют придерживаться базовых принципов уменьшения поверхности атаки. В частности, следует ограничить возможность запуска wscript.exe для обычных пользовательских учётных записей. Именно этот исполняемый файл используется злоумышленниками для выполнения кода OYSTERFRESH. Кроме того, стоит внедрить строгие фильтры для вложений PDF и ZIP в почтовых шлюзах, а также усилить контроль над учётными записями, имеющими доступ к внешней переписке.

Активность UNC1151 остаётся серьёзным вызовом для служб информационной безопасности не только Украины, но и других стран региона. Описанная кампания показывает, что для внедрения вредоносного кода достаточно одного невнимательного клика. Поэтому организациям необходимо регулярно проводить тренинги по осведомлённости сотрудников и своевременно обновлять правила фильтрации почтового трафика. Только комплексный подход поможет предотвратить успешную реализацию подобных атак и защитить критически важные системы от компрометации.

Domains

• a1si.icu
• a3ufz.xsjdsb.icu
• advancedaisolutionsforeveryone.a1si.icu
• alertapp.icu
• alerteddatalistsclients.alertapp.icu
• alexavegas.icu
• algsat.icu
• best-seller.lavanille.buzz
• cgdirector.icu
• easiestnewsfromourpointofview.algsat.icu
• ifo-jupyter.natter.icu
• lavanille.buzz
• mickeymousegamesdealer.alexavegas.icu
• natter.icu
• productionsamplesoftheyear.cgdirector.icu
• xsjdsb.icu

URLs

• https://a3ufz.xsjdsb.icu/wp-json/prometheus-plus/certs-at-home/downloads
• https://a3ufz.xsjdsb.icu/wp-json/prometheus-plus/devops_and_kubernetes/marketing-analytics
• https://a3ufz.xsjdsb.icu/wp-json/prometheus-plus/veteran-circle/system-team-management=https://apps.prometheus.org.ua/authn/register
• https://advancedaisolutionsforeveryone.a1si.icu/study/mathematics/calculus/practice-problems/integration
• https://alerteddatalistsclients.alertapp.icu/c7b054f1/files/uploaded/3000108836624430
• https://best-seller.lavanille.buzz/drawing/equipment
• https://easiestnewsfromourpointofview.algsat.icu/uploads/certs/4e5d6fasd234dfdf/script
• https://easiestnewsfromourpointofview.algsat.icu/uploads/files/SGVsbG8sIHdvcmxkIQ==/certificate
• https://ifo-jupyter.natter.icu/wp-content/plugins/elementor/assets/lib/eicons/css
• https://mickeymousegamesdealer.alexavegas.icu/wp-content/uploads/2026/03/certificate
• https://mickeymousegamesdealer.alexavegas.icu/wp-content/uploads/2026/03/tags
• https://productionsamplesoftheyear.cgdirector.icu/wp-content/plugins/contact-form-7/modules/recaptcha

MD5

• 00f20761abcc156451a3c560b0a6637a
• 08a0d912c526a56be8185684f10a3c16
• 0c910962e4d6586db01877348cb6b928
• 0e8f5d6f44ad8a7b568b781bc78318ba
• 10a1b41352dc90e5b6060eb88d1e843b
• 11590720540e152070274c2053da5c45
• 2002c7268ac90ae34012ac060f030377
• 20ecfa351609ade2bcc0f4ada30a532f
• 279beb63fb7881bfd87aa35d6dbabe11
• 29692522c85162302e95046839785364
• 38849b099db8a92b71325073ee5f3779
• 3e79907378e5c0bc210ea0721bdcc612
• 423960447b834691a80d884a7ed69476
• 48c1066946723823bbada44097acbac6
• 562e9a8f70196717cd0a6e5c6b2337ea
• 5cef2203c5b9f9d2df02409d938561af
• 67565b9637d7005d9c4588d548d759a9
• 72116196bc5187f073e300e117d3e2ff
• 73ce230eb83d2547f502242067e4e3b2
• 77fcc59a130a56e0eff282c9264159c3
• 9905e21c43a4bcdb702281f078ef4a4f
• ab1a67562a8c19aae22ad3db049d4b89
• aec2b8b354a54328b0943bde455a1d43
• c71f5e1d08de6082dbb26712bcfab25e
• ce5d94ca2a066e831f8fd8f995f29314
• d2b9c4a805c402dd697f23dd7c58a8c0
• d9f6a4f2f687249262af746f4575e156
• dfd94f13aa23b7fe11f88ad35f767684
• e9e419c980b80c290872590731148793
• f1402bab6f695b14e1ca6a36439a5d33
• fd488c39400a756456f0cb7ea90c92a0
• fe0446756933f05a2bc312c51d50ce83

SHA256

• 07ff534b425b09123577067d4aebcdecd523acbec8d1b180179aca1377c0a4e7
• 0bb7cf24b3c830b1f86df26fb4f07a4b93b636de27864f120fe8c129f2edde19
• 0f2d779f41e25ca9c22a274d5de2301b9e6cef74efc0b235f90bab6f249bb6da
• 10a83a7e45de345d72d203e0ee6414f057b00d0bdd48bf2141364ae00e020203
• 129125d09c785ad5d9f0cc730a2c2c08c957baa4a126907aa5e4e0f8568fd24c
• 1cf6a8d2bc1b50ab687e6a74d027450593aeed525243e58a1eb23d28e405b854
• 2752cc0ab3b011e2469ddeba1d91755555e6fd2047ec1a54271d94856d8a0ccd
• 2c1fbacc065176ac8baf8c78235997f36daad8806549357a769c542d8607c766
• 378cb2a897aa9b9ac5cf14e2926b7da633a667fbfb86c6e888ddfa8482a9e899
• 4095aecbea955b1441fef58cfc5f138a0c60823fb9a383949f48e73b7669a69c
• 446cabdbdbf2c9724c92a0d40106c768b8dfd502356d4332a6e936a1e2977739
• 596e6e927d016caeede57a1639e847c91166dac6971173b0f3ac129c41abc342
• 65752ab1d78b215e70a543b790a1946b9e316474fce114bd2089f35030801988
• 662a78fbfe426fa0b7101a0eea0388752d623582d561379ac39232b542c0ee59
• 6861ccc49586bc4e41b0947ac23a47409a29569540abb4bbf35e1db23665e498
• 6c3744295c4e0cff59f9d0e982980cfe7e81c8b2421c7aa24b85db887ae5c733
• 83c1a1770944c8c01308c25d328abfea6bab663a7b320b9829b173f6c3cff93d
• 845474a60e029ac8b361a89edfee507d59318c52c6e48f36e6bd30626f09b3f0
• 859462bc01536e70ca024f0457f03f6f3f7833d13a032bf30e59c97d10ea691e
• 904685ae9056856132b8a2837b41676fe67038558ce62b61008d31fbbf384feb
• 9647ea4412ee4071dc18189e593595241eedd69c0a61bfe008ef958914d956f2
• a019345bcb8cc34defac8e873087289b0feaeeb3f74d027ddea82a049edb5f5e
• a21e15c7ff7a6e2cf8e28758f0be6718319f15ee5a8c225b9a5900ba6d1bd3f4
• a7ae0604ce1521f31cdcb11ca24520588ae3e2823ad44fe5704b6de59dc8c414
• b640a99ab2af33024af7217de718cc5fde9c44b819d4f0943a8cbe27655b9eef
• b7b679cc1c4c72d9c6066cea7494d8372acf089b1a64b25ea4fc66e4b0f55eeb
• b8c679550fedcddb1806ca9b7e39f0f6f10e21b666e069c1a03065f82bae2985
• bb5dcf4147d03267a9be8ba43c09260c9e587cd2712b27d2ef53b59dd274777c
• bd680322ef5ebbf87cc3fad49702e948d206f85ae90eb334acf24e856e60ba78
• cf635a7a9753058eb92f839686149a1d8792d2f107e78c3175a157e7f4042385
• e210d8de1c092a4c714c547667e6a67ece801788639a5196e86ed6786991fc03
• ea8f6076e232efd9104ab282cd31bf249d0e6ddd6032b9a52d2e9c128d8dde62