RSS-Новини
Версія для людей із порушенням зору
Кириківська громада
Сумська область, Охтирський район
» Кібербезпека » Оновлений інструментарій UAC-0057: OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES

Оновлений інструментарій UAC-0057: OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES

Дата: 22.05.2026 08:54
Кількість переглядів: 23

Загальна інформація

Починаючи з весни 2026 року, CERT-UA фіксує численні випадки розсилання електронних листів серед державних організацій із використанням скомпрометованих облікових записів, зокрема із використанням тематики отримання сертифікатів через онлайн-платформу Prometheus.

Як правило, у вкладенні до електронного листа додається PDF-документ із посиланням, перехід за яким призводить до завантаження ZIP-архіву, що містить JS-файл.

Згаданий JS-файл, класифіковано як OYSTERFRESH, що забезпечує відображення документа-приманки, запис у реєстр операційної системи в обфускованому та закодованому вигляді програмного засобу OYSTERBLUES, а також завантаження і запуск компонента OYSTERSHUCK, який виконує роль декодера для згаданого OYSTERBLUES.

Для декодування послідовно виконується зокрема реверс рядка, ROT13 перетворення та URL-декодування. 

Для декодування послідовно застосовуються, зокрема, реверсування рядка, перетворення ROT13 та URL-декодування. В свою чергу, OYSTERBLUES отримує інформацію про комп’ютер, зокрема його назву, обліковий запис користувача, версію ОС, час останнього завантаження ОС і перелік запущених процесів, після чого надсилає ці дані на сервер управління за допомогою HTTP POST-запиту та очікує у відповідь JS-код, який виконується за допомогою функції eval.

Відомо, що на наступному етапі на комп’ютер може бути довантажено компонент фреймворку Cobalt Strike.

Типово для UAC-0057 (UNC1151) інфраструктура схована за Cloudflare, а значна частина використовуваних доменних імен відноситься до TLD .icu.

Для зниження ймовірності реалізації описаної кіберзагрози доцільно застосовувати відомі базові підходи до зменшення поверхні атаки, зокрема обмежити можливість запуску wscript.exe для облікових записів звичайних користувачів.

Детальна інформація https://cert.gov.ua/article/6315762 

Графічні зображення:

Фото без описуРис.1 Приклад електронного листа та PDF-вкладення

Фото без описуРис.2 Програмний засіб OYSTERFRESH

Фото без описуРис.4 Програмний засіб OYSTERBLUES

Індикатори кіберзагроз

Файли:

d2b9c4a805c402dd697f23dd7c58a8c0    ea8f6076e232efd9104ab282cd31bf249d0e6ddd6032b9a52d2e9c128d8dde62    Certificate.pdf 
423960447b834691a80d884a7ed69476    a7ae0604ce1521f31cdcb11ca24520588ae3e2823ad44fe5704b6de59dc8c414    certificate.zip
20ecfa351609ade2bcc0f4ada30a532f    65752ab1d78b215e70a543b790a1946b9e316474fce114bd2089f35030801988    certificate.js (OYSTERFRESH)
fd488c39400a756456f0cb7ea90c92a0    b8c679550fedcddb1806ca9b7e39f0f6f10e21b666e069c1a03065f82bae2985    certificate.pdf
29692522c85162302e95046839785364    859462bc01536e70ca024f0457f03f6f3f7833d13a032bf30e59c97d10ea691e    amplifier.js (OYSTERSHUCK)
279beb63fb7881bfd87aa35d6dbabe11    9647ea4412ee4071dc18189e593595241eedd69c0a61bfe008ef958914d956f2    Oyster
77fcc59a130a56e0eff282c9264159c3    10a83a7e45de345d72d203e0ee6414f057b00d0bdd48bf2141364ae00e020203    Oyster.js (OYSTERBLUES)

2002c7268ac90ae34012ac060f030377    b7b679cc1c4c72d9c6066cea7494d8372acf089b1a64b25ea4fc66e4b0f55eeb    Certificate.pdf 

ab1a67562a8c19aae22ad3db049d4b89    904685ae9056856132b8a2837b41676fe67038558ce62b61008d31fbbf384feb    Certificate.pdf
08a0d912c526a56be8185684f10a3c16    bd680322ef5ebbf87cc3fad49702e948d206f85ae90eb334acf24e856e60ba78    certificate.zip
9905e21c43a4bcdb702281f078ef4a4f    cf635a7a9753058eb92f839686149a1d8792d2f107e78c3175a157e7f4042385    certificate.js (OYSTERFRESH)

3e79907378e5c0bc210ea0721bdcc612    662a78fbfe426fa0b7101a0eea0388752d623582d561379ac39232b542c0ee59    Сетифікат_CAF.rar
0e8f5d6f44ad8a7b568b781bc78318ba    e210d8de1c092a4c714c547667e6a67ece801788639a5196e86ed6786991fc03    Сетифікат_CAF.js
0c910962e4d6586db01877348cb6b928    07ff534b425b09123577067d4aebcdecd523acbec8d1b180179aca1377c0a4e7    EdgeTaskMachine.js
00f20761abcc156451a3c560b0a6637a    b640a99ab2af33024af7217de718cc5fde9c44b819d4f0943a8cbe27655b9eef    EdgeSystemConfig.dll (CSBEACON)

f1402bab6f695b14e1ca6a36439a5d33    129125d09c785ad5d9f0cc730a2c2c08c957baa4a126907aa5e4e0f8568fd24c    certificate.pdf 
ce5d94ca2a066e831f8fd8f995f29314    a21e15c7ff7a6e2cf8e28758f0be6718319f15ee5a8c225b9a5900ba6d1bd3f4    certificate.zip
48c1066946723823bbada44097acbac6    6861ccc49586bc4e41b0947ac23a47409a29569540abb4bbf35e1db23665e498    certificate.js (OYSTERFRESH)
fe0446756933f05a2bc312c51d50ce83    83c1a1770944c8c01308c25d328abfea6bab663a7b320b9829b173f6c3cff93d    tags (OYSTERSHUCK)

e9e419c980b80c290872590731148793    2c1fbacc065176ac8baf8c78235997f36daad8806549357a769c542d8607c766    certificate.zip
d9f6a4f2f687249262af746f4575e156    6c3744295c4e0cff59f9d0e982980cfe7e81c8b2421c7aa24b85db887ae5c733    certificate.js (OYSTERFRESH)

11590720540e152070274c2053da5c45    1cf6a8d2bc1b50ab687e6a74d027450593aeed525243e58a1eb23d28e405b854    invoice_20260301_ba7724417.pdf 
5cef2203c5b9f9d2df02409d938561af    2752cc0ab3b011e2469ddeba1d91755555e6fd2047ec1a54271d94856d8a0ccd    3000108836624430.zip
38849b099db8a92b71325073ee5f3779    4095aecbea955b1441fef58cfc5f138a0c60823fb9a383949f48e73b7669a69c    invoice_20260301_ba7724417.js (OYSTERFRESH)

dfd94f13aa23b7fe11f88ad35f767684    0bb7cf24b3c830b1f86df26fb4f07a4b93b636de27864f120fe8c129f2edde19    Certificate.pdf
10a1b41352dc90e5b6060eb88d1e843b    a019345bcb8cc34defac8e873087289b0feaeeb3f74d027ddea82a049edb5f5e    certificate.zip
aec2b8b354a54328b0943bde455a1d43    bb5dcf4147d03267a9be8ba43c09260c9e587cd2712b27d2ef53b59dd274777c    certificate.js (OYSTERFRESH)
c71f5e1d08de6082dbb26712bcfab25e    378cb2a897aa9b9ac5cf14e2926b7da633a667fbfb86c6e888ddfa8482a9e899    dist.js (OYSTERSHUCK)

562e9a8f70196717cd0a6e5c6b2337ea    845474a60e029ac8b361a89edfee507d59318c52c6e48f36e6bd30626f09b3f0    Certificate.pdf 
72116196bc5187f073e300e117d3e2ff    0f2d779f41e25ca9c22a274d5de2301b9e6cef74efc0b235f90bab6f249bb6da    certificate.zip
67565b9637d7005d9c4588d548d759a9    596e6e927d016caeede57a1639e847c91166dac6971173b0f3ac129c41abc342    certificate.js (OYSTERFRESH)
73ce230eb83d2547f502242067e4e3b2    446cabdbdbf2c9724c92a0d40106c768b8dfd502356d4332a6e936a1e2977739    thesis-outline (OYSTERSHUCK)

Хостові:

%LOCALAPPDATA%GoogleChromeUserDataProfileExtensionsghbmnnjooekpmoecnnnilnnbdlolhkhi1.117.9_7_metadatacomputedhashesamplifier.js
%APPDATA%EdgeMachineData
%PROGRAMDATA%WindowsEdgeApp
%APPDATA%EdgeMachineDataEdgeTaskMachine.js
%APPDATA%EdgeMachineDataMicrosoftEdgeUpdate.exe
%PROGRAMDATA%WindowsEdgeAppEdgeApp.exe
%PROGRAMDATA%WindowsEdgeAppEdgeSystemConfig.dll
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsBlue'Oyster'
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun'MicrosoftEdgeUpdate'
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun'WindowsEdgeStartup'
MicrosoftEdgeUpdateTaskMachine

Мережеві:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.30
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.30
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/141.0.0.0 Safari/537.30
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Edg/87.0.664.66
hXXps://a3ufz.xsjdsb[.]icu/wp-json/prometheus-plus/certs-at-home/downloads
hXXps://a3ufz.xsjdsb[.]icu/wp-json/prometheus-plus/devops_and_kubernetes/marketing-analytics
hXXps://a3ufz.xsjdsb[.]icu/wp-json/prometheus-plus/veteran-circle/system-team-management=https://apps.prometheus.org.ua/authn/register
hXXps://advancedaisolutionsforeveryone.a1si[.]icu/study/mathematics/calculus/practice-problems/integration
hXXps://alerteddatalistsclients.alertapp[.]icu/c7b054f1/files/uploaded/3000108836624430
hXXps://best-seller.lavanille[.]buzz/drawing/equipment
hXXps://easiestnewsfromourpointofview.algsat[.]icu/uploads/certs/4e5d6fasd234dfdf/script
hXXps://easiestnewsfromourpointofview.algsat[.]icu/uploads/files/SGVsbG8sIHdvcmxkIQ==/certificate
hXXps://ifo-jupyter.natter[.]icu/wp-content/plugins/elementor/assets/lib/eicons/css
hXXps://mickeymousegamesdealer.alexavegas[.]icu/wp-content/uploads/2026/03/certificate
hXXps://mickeymousegamesdealer.alexavegas[.]icu/wp-content/uploads/2026/03/tags
hXXps://productionsamplesoftheyear.cgdirector[.]icu/wp-content/plugins/contact-form-7/modules/recaptcha
ifo-jupyter.natter[.]icu
natter[.]icu
a3ufz.xsjdsb[.]icu
xsjdsb[.]icu
easiestnewsfromourpointofview.algsat[.]icu
algsat[.]icu
best-seller.lavanille[.]buzz
lavanille[.]buzz
mickeymousegamesdealer.alexavegas[.]icu
alexavegas[.]icu
alerteddatalistsclients.alertapp[.]icu
alertapp[.]icu
productionsamplesoftheyear.cgdirector[.]icu
cgdirector[.]icu
advancedaisolutionsforeveryone.a1si[.]icu
a1si[.]icu

« повернутися

Веб-сайти для громад України - GROMADA.ORG.UA Веб-сайти для районних державних адміністрацій України - RDA.ORG.UA Веб-сайти для районних рад України - RAYRADA.ORG.UA Веб-сайти для відділів освіти та освітніх закладів - OSV.ORG.UA Система електронного документообігу Vlada.DOCs
Кириківська громада - 2018-2026 © Весь контент доступний за ліцензією Creative Commons Attribution 4.0 International License, якщо не зазначено інше.

Код для вставки на сайт

Вхід для адміністратора

Авторизація в системі електронних петицій

Забулись пароль? Система відновлення пароля
Ще не зареєстровані? Реєстрація

Реєстрація в системі електронних петицій

Зареєструватись можна буде лише після того, як громада підключить на сайт систему електронної ідентифікації. Наразі очікуємо підключення до ID.gov.ua. Вибачте за тимчасові незручності

Вже зареєстровані? Увійти

Відновлення забутого пароля

Згадали авторизаційні дані? Авторизуйтесь