CERT-UA: новий інструментарій UAC-0057 та як протидіяти

Кіберпростір України залишається ареною постійних атак. Сьогодні, 6 червня, CERT-UA випустила попередження, що привертає увагу до нового інструментарію угруповання UAC-0057. Цей арсенал, що складається з OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES, є свідченням еволюції загроз і вимагає від українських організацій посилення заходів кібербезпеки. Це стосується особливо тих, що працюють з критичною інфраструктурою та мають європейських партнерів, адже передбачає впровадження комплексних процесів реагування на інциденти та управління ризиками відповідно до вимог директиви NIS2.

Нова загроза: інструментарій UAC-0057

Згідно з попередженням CERT-UA, угруповання UAC-0057 активно використовує новий набір шкідливого програмного забезпечення: OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES. Ці інструменти розроблені для багатоетапних атак, спрямованих на компрометацію систем і викрадення конфіденційних даних.

• OYSTERFRESH: Зазвичай це початковий вектор проникнення. Його доставляють через фішингові електронні листи або шкідливі вебсайти, маскуючи під легітимне програмне забезпечення або оновлення. Основна функція — встановлення первинного доступу та завантаження додаткових компонентів.
• OYSTERSHUCK: Після успішного проникнення OYSTERFRESH активується OYSTERSHUCK. Цей інструмент призначений для розширення привілеїв у скомпрометованій системі, горизонтального переміщення мережею та збору інформації. Він може використовувати різні техніки, від експлуатації вразливостей до викрадення облікових даних, щоб отримати контроль над іншими вузлами мережі.
• OYSTERBLUES: Фінальний етап атаки пов’язаний з OYSTERBLUES, який відповідає за стійкість присутності в системі, встановлення каналів зв’язку з командно-контрольними серверами (C2) та ексфільтрацію даних. Цей компонент забезпечує зловмисникам довготривалий доступ до цільової інфраструктури, дозволяючи викрадати інформацію або здійснювати подальші деструктивні дії.

Загалом цей інструментарій свідчить про високий рівень підготовки та цілеспрямованість UAC-0057, що робить його особливо небезпечним для організацій з недостатньо розвиненими системами кіберзахисту.

Контекст кіберзагроз: фішинг, телеком-шахрайство та готовність до протидії

Поява нового інструментарію UAC-0057 відбувається на тлі зростаючої складності глобального ландшафту кіберзагроз. Важливо розуміти ширший контекст, у якому діють такі угруповання.

• Фішинг як провідний вектор: За даними ENISA Threat Landscape 2025, фішинг залишається провідним вектором початкового доступу. Це підтверджує, що соціальна інженерія є ефективним способом обходу технічних засобів захисту. Інструменти на кшталт OYSTERFRESH часто покладаються саме на цей метод для первинного проникнення.
• Ризики для мобільних мереж: Той самий звіт ENISA Threat Landscape 2025 фіксує експлуатацію застарілих сигнальних протоколів SS7 і Diameter як значущий ризик для мобільних мереж. Це особливо актуально для телекомунікаційних компаній, які є частиною критичної інфраструктури.
• Глобальні втрати від телеком-шахрайства: CFCA Global Fraud Loss Survey 2025 оцінює глобальні втрати від телеком-шахрайства у 2025 році приблизно у 41.82 мільярда доларів. З них близько 5.31 мільярда доларів припадає на subscription fraud, що базується на справжній або викраденій особі. Це підкреслює фінансові мотиви кіберзлочинців і важливість захисту ідентифікаційних даних.
• Готовність до кібербезпеки: Cisco Cybersecurity Readiness Index 2025, що базується на опитуванні 8 000 лідерів кібербезпеки у 30 ринках, виявив, що організації оцінюють свою готовність за п’ятьма ключовими напрямками, включаючи AI Fortification. Це вказує на зростаюче усвідомлення необхідності використання AI для захисту.

Бізнес-ризики: чому відповідність NIS2 є обов’язковою для українських компаній

Для українських компаній, особливо тих, що інтегровані в європейські ланцюги постачання або працюють у секторах критичної інфраструктури, відповідність директиві NIS2 (Network and Information Systems Directive 2) є обов’язковою вимогою. Ця директива поширює свою дію і на компанії, які надають послуги або здійснюють діяльність на території Євросоюзу, навіть якщо їхні основні операції знаходяться за межами ЄС.

Невиконання вимог NIS2 несе значні бізнес-ризики:

• Штрафи: Директива передбачає суттєві штрафи за порушення вимог кібербезпеки. Для «суттєвих» організацій (essential entities) це може бути до 10 мільйонів євро або 2% від річного світового обороту, залежно від того, що більше. Для «важливих» організацій (important entities) — до 7 мільйонів євро або 1.4% від річного світового обороту.
• Втрата контрактів та репутації: Нездатність продемонструвати відповідність NIS2 може призвести до втрати існуючих контрактів з європейськими замовниками та неможливості укладання нових. Репутаційні втрати від інцидентів, що сталися через невідповідність стандартам, можуть бути довготривалими.
• Операційні збої: Відсутність належних заходів кібербезпеки, як того вимагає NIS2, підвищує ймовірність успішних кібератак, що призводять до простоїв, втрати даних та інших операційних збоїв.

NIS2 вимагає від компаній впровадження комплексних заходів, включаючи управління ризиками, реагування на інциденти (з обов’язковим повідомленням протягом 24 годин про значний інцидент та 72 годин про його оновлення), безперервність бізнесу, безпеку ланцюга постачання та використання криптографії.

Типова помилка: SIEM без процесу реагування на інциденти

Однією з найпоширеніших помилок є інвестиція в системи SIEM (Security Information and Event Management) без належного впровадження процесів реагування на інциденти (IR) та формування кваліфікованої команди SOC (Security Operations Center). SIEM-система сама по собі є лише інструментом для збору, агрегації та кореляції логів. Вона генерує попередження, але не реагує на них.

На практиці це виглядає так: компанія витрачає кошти на ліцензії та впровадження SIEM, але не інвестує в:

• Розробку IR-плейбуків: Чітких, покрокових інструкцій, що робити у разі виявлення конкретного типу атаки.
• Навчання персоналу: Співробітники, які мають працювати з SIEM, не володіють необхідними навичками для аналізу попереджень та розслідування інцидентів.
• Формування команди SOC: Часто функції SOC покладаються на існуючих IT-спеціалістів, які вже перевантажені щоденними завданнями і не мають достатньо часу чи експертизи для цілодобового моніторингу.
• Інтеграцію з іншими системами: SIEM працює ізольовано, не інтегрована з системами управління ідентифікацією (IAM), управління вразливостями (Vulnerability Management) або автоматизації реагування (SOAR).

Результатом є система, яка генерує тисячі попереджень, що залишаються без уваги або на які реагують занадто повільно. У випадку атаки UAC-0057, яка використовує багатоетапний інструментарій, затримка в реагуванні на початкове попередження від OYSTERFRESH може дати зловмисникам достатньо часу для розгортання OYSTERSHUCK та OYSTERBLUES, що призведе до повної компрометації.

Операційний сценарій: захист банку національного масштабу

Розглянемо операційний сценарій для банку національного масштабу, який стикається з атакою, подібною до тієї, що використовує інструментарій UAC-0057. Банк оперує мільйонами рахунків, обробляє великі обсяги фінансових транзакцій і підпадає під суворі регуляторні вимоги, включаючи PCI DSS, ISO/IEC 27001 та, з огляду на міжнародну діяльність, NIS2.

Вихідні умови:

• Банк має розподілену інфраструктуру: центральний офіс, десятки філій, дата-центри, хмарні сервіси.
• Використовується SIEM-система, але її інтеграція з процесами реагування не є досконалою.
• Персонал регулярно проходить навчання з кібергігієни, але ризик людської помилки залишається.

Сценарій атаки:

1. Початкове проникнення (OYSTERFRESH): Співробітник банку отримує фішинговий лист, що імітує повідомлення від регулятора. Лист містить посилання на шкідливий документ, який встановлює OYSTERFRESH на його робочу станцію.
2. Розширення доступу (OYSTERSHUCK): OYSTERFRESH надає зловмисникам первинний доступ. Використовуючи вразливість у застарілому програмному забезпеченні або викрадені облікові дані, OYSTERSHUCK починає горизонтальне переміщення мережею, шукаючи доступ до внутрішніх серверів, де зберігаються дані замовників.
3. Викрадення даних (OYSTERBLUES): Після отримання доступу до критичних систем, OYSTERBLUES встановлює стійкий канал зв’язку з C2-сервером і починає ексфільтрацію даних: інформації про рахунки, транзакції, внутрішні фінансові звіти.

Наслідки без належного реагування:

• Фінансові втрати: Прямі втрати від шахрайських транзакцій або викупу.
• Репутаційний збиток: Втрата довіри замовників, що може призвести до відтоку капіталу.
• Регуляторні штрафи: За порушення PCI DSS, ISO/IEC 27001 та NIS2.
• Юридичні наслідки: Позови від замовників та регуляторів.

Ефективний захист у такому сценарії вимагає не лише технічних засобів, а й зрілих процесів: цілодобовий моніторинг, швидке виявлення аномалій у SIEM, негайне залучення команди SOC, яка діє за чіткими IR-плейбуками, ізоляція скомпрометованих систем та відновлення роботи. Затримка в кілька годин може коштувати мільйони.

Рекомендації CERT-UA та практичні кроки для протидії

CERT-UA надає конкретні рекомендації щодо протидії інструментарію UAC-0057. Ці рекомендації, у поєднанні із загальними практиками кібербезпеки та вимогами NIS2, формують комплексний підхід до захисту.

Практичні кроки для посилення кібербезпеки:

1. Посилення захисту від фішингу: Впровадження багатофакторної автентифікації (MFA), регулярне навчання персоналу щодо розпізнавання фішингових листів та соціальної інженерії. Використання сучасних рішень для фільтрації електронної пошти та захисту веб-браузерів.
2. Управління вразливостями та патч-менеджмент: Регулярне сканування систем на предмет вразливостей та своєчасне встановлення оновлень безпеки. Це критично для запобігання експлуатації відомих вразливостей, які може використовувати OYSTERSHUCK.
3. Моніторинг та виявлення аномалій: Ефективне використання SIEM-систем для збору та аналізу логів з усіх критичних систем. Налаштування правил кореляції для виявлення ознак роботи OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES, таких як аномальна активність облікових записів чи незвичайний мережевий трафік.
4. Сегментація мережі: Розділення корпоративної мережі на логічні сегменти для обмеження горизонтального переміщення зловмисників у разі компрометації одного сегмента.
5. Резервне копіювання та план відновлення: Регулярне створення резервних копій критично важливих даних та розробка детального плану відновлення після інцидентів.
6. Реагування на інциденти (IR): Розробка та регулярне тестування IR-плейбуків. Формування або залучення кваліфікованої команди SOC, здатної цілодобово моніторити, виявляти та реагувати на інциденти відповідно до нормативних термінів NIS2 (24/72 години).
7. Безпека ланцюга постачання: Оцінка ризиків кібербезпеки для всіх постачальників та партнерів, що мають доступ до вашої інфраструктури або даних. Це є важливою вимогою NIS2.
8. Тестування на проникнення та Red Teaming: Регулярне проведення тестів на проникнення та Red Teaming вправ для оцінки ефективності існуючих заходів безпеки та виявлення слабких місць.

Чекліст готовності до протидії UAC-0057 та відповідності NIS2

• Чи налаштовані правила кореляції в SIEM для виявлення специфічних індикаторів компрометації (IoC), пов’язаних з OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES?
• Чи існують та протестовані IR-плейбуки для сценаріїв фішингу з подальшим горизонтальним переміщенням?
• Чи формалізовано процес управління ризиками ланцюга постачання відповідно до вимог NIS2?
• Чи охоплює програма навчання персоналу симуляції фішингових атак з аналізом результатів?
• Чи інтегрована SIEM-система з іншими рішеннями (SOAR, IAM) для пришвидшення реагування?
• Чи включено сценарії, подібні до атак UAC-0057, у програму регулярних тестувань на проникнення?
• Чи забезпечено цілодобовий моніторинг та чи визначено відповідальних для дотримання термінів звітування за NIS2 (24/72 години)?