CERT-UA зафіксували нову хвилю кібератак на державні установи. Починаючи з весни 2026 року, зафіксовано численні випадки розсилання електронних листів серед державних організацій із використанням скомпрометованих облікових записів, зокрема із використанням тематики отримання сертифікатів через онлайн-платформу Prometheus.
- Як правило, у вкладенні до електронного листа додається PDF-документ із посиланням, перехід за яким призводить до завантаження ZIP-архіву, що містить JS-файл. Згаданий JS-файл, класифіковано як OYSTERFRESH, що забезпечує відображення документа-приманки, запис у реєстр операційної системи в обфускованому та закодованому вигляді програмного засобу OYSTERBLUES, а також завантаження і запуск компонента OYSTERSHUCK, який виконує роль декодера для згаданого OYSTERBLUES. В свою чергу, OYSTERBLUES отримує інформацію про комп’ютер, після чого надсилає ці дані на сервер управління за допомогою HTTP POST-запиту та очікує у відповідь JS-код, який виконується за допомогою функції eval. Відомо, що на наступному етапі на комп’ютер може бути довантажено компонент фреймворку Cobalt Strike, – попереджають спеціалісти.
Іншими словами, зловмисники надсилають електронного листа з темою про згенерований сертифікат. До листа додається PDF-документ, який імітує повідомлення від платформи. Усередині надісланого файлу міститься посилання, натискання на яке завантажує на комп’ютер жертви архів з небезпечним файлом, запуск якого розпочинає процес інфікування системи. Надалі хакери отримують можливість віддаленого управління пристроєм.
- Для зниження ймовірності реалізації описаної кіберзагрози доцільно застосовувати відомі базові підходи до зменшення поверхні атаки, зокрема обмежити можливість запуску wscript.exe для облікових записів звичайних користувачів.