25.05.2026
1 хв
122
Хакерське угруповання Ghostwriter розгорнуло нову кампанію проти українських державних організацій, використовуючи шкідливі документи Microsoft Office та фальшиві файли, замасковані під офіційні матеріали. Дослідники кажуть, що атаки спрямовані на викрадення даних і закріплення доступу всередині систем.
Пов’язаний з Білоруссю зловмисник, відомий як Ghostwriter (також відомий як UAC-0057 та UNC1151), використовував приманки, пов’язані з Prometheus, українською платформою онлайн-навчання, для атак на урядові організації країни.
За даними Команди реагування на комп’ютерні надзвичайні ситуації України (CERT-UA), ця діяльність полягає в надсиланні фішингових електронних листів державним установам з використанням скомпрометованих облікових записів. Вона триває з весни 2026 року.
«Зазвичай електронний лист містить PDF-файл із посиланням, натискання на яке веде до завантаження ZIP-архіву, що містить файл JavaScript», – йдеться у звіті агентства, опублікованому в четвер.
Файл JavaScript під назвою OYSTERFRESH призначений для відображення документа-приманки як механізму відволікання уваги, одночасно приховано записуючи зашифроване корисне навантаження під назвою OYSTERBLUES до реєстру Windows, а також завантажуючи та запускаючи OYSTERSHUCK, який відповідає за декодування OYSTERBLUES.
OYSTERBLUES оснащений для збору широкого спектру системної інформації, включаючи ім’я комп’ютера, обліковий запис користувача, версію ОС, час останнього завантаження ОС та список запущених процесів. Зібрані дані надсилаються на командно-контрольний (C2) сервер через HTTP POST-запит.
Потім він очікує подальших відповідей, що містять код JavaScript наступного етапу, який виконується за допомогою функції eval(). Остаточним корисним навантаженням оцінюється Cobalt Strike, фреймворк для симуляції зловмисників, який широко використовується для дій після експлуатації.
«Щоб зменшити ймовірність використання цієї кіберзагрози, доцільно застосовувати відомі базові підходи до зменшення поверхні атаки, зокрема шляхом обмеження можливості запуску wscript.exe для стандартних облікових записів користувачів», – йдеться у повідомленні CERT-UA.
Це розкриття з’явилося після того, як Рада національної безпеки і оборони України викрила використання росією інструментів штучного інтелекту (ШІ) , таких як OpenAI ChatGPT та Google Gemini, для розвідки цілей та вбудовування цієї технології у шкідливе програмне забезпечення для генерації шкідливих команд під час виконання, водночас звинувативши підтримувані Кремлем хакерські групи у здійсненні кібератак, спрямованих на отримання розвідувальних даних та забезпечення довгострокової присутності у скомпрометованих мережах для подальшої експлуатації, зокрема для підтримки операцій впливу.
«Основними векторами початкового проникнення у 2025 році були соціальна інженерія, експлуатація вразливостей, використання скомпрометованих облікових записів RDP та VPN, атаки на ланцюги поставок та використання неліцензійного програмного забезпечення, яке вже містить вбудовані бекдори на етапі встановлення», – заявила Рада. «Зловмисники зосереджувалися на крадіжці конфіденційної інформації, перехопленні комунікацій та відстеженні місцезнаходження цілей».
У пов’язаній з цим події з’явилися подробиці про прокремлівську пропагандистську кампанію, яка з 2024 року захоплювала облікові записи реальних користувачів Bluesky для публікації фейкового контенту. Серед викрадених облікових записів були журналісти та професори. Діяльність приписують московській компанії під назвою « Агентство соціального дизайну» , яка пов’язана з кампанією під назвою «Матрьошка». У деяких із цих випадків Bluesky вдавався до призупинення дії облікових записів, доки власники не ініціюють їх перезавантаження.
