Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Trappola Prometheus in Ucraina: Ghostwriter colpisce enti governativi con phishing e Cobalt Strike
La campagna di phishing attribuita al gruppo Ghostwriter, noto anche con altre sigle operative, sta prendendo di mira enti governativi ucraini sfruttando come esca Prometheus, una piattaforma di apprendimento online molto diffusa nel paese. Secondo le informazioni tecniche disponibili, l’attività risulta attiva dalla primavera 2026 e si basa sull’invio di email malevole provenienti da account compromessi, un dettaglio che aumenta la credibilità dei messaggi e riduce le possibilità che vengano bloccati dai filtri antispam.
Lo schema di attacco è costruito per indurre la vittima ad aprire un allegato PDF che contiene un collegamento. Il click porta al download di un archivio ZIP al cui interno è presente un file JavaScript. Questa fase è tipica di molte catene di infezione moderne, perché consente di aggirare controlli basati su macro o documenti Office e di avviare l’esecuzione tramite componenti nativi di Windows.
Il JavaScript iniziale, identificato come OYSTERFRESH, svolge un duplice ruolo. Da un lato mostra un documento esca per distrarre l’utente e simulare un contenuto legittimo, dall’altro prepara la compromissione scrivendo un payload offuscato e cifrato chiamato OYSTERBLUES nel Registro di Windows. Parallelamente scarica e avvia OYSTERSHUCK, che ha il compito di decodificare OYSTERBLUES e abilitarne l’esecuzione effettiva.
Una volta attivo, OYSTERBLUES raccoglie informazioni di sistema utili per il profiling della macchina compromessa, come nome del computer, account utente, versione del sistema operativo, orario dell’ultimo avvio e lista dei processi in esecuzione. I dati vengono poi inviati a un server di comando e controllo tramite richiesta HTTP POST. Successivamente il malware resta in attesa di ulteriori istruzioni, ricevendo codice JavaScript di fase successiva che viene eseguito tramite la funzione eval, una tecnica che rende più difficile l’analisi statica e facilita l’aggiornamento delle capacità malevole.
La fase finale è stata associata a Cobalt Strike, framework spesso abusato per attività di post-exploitation, movimento laterale e persistenza. Per ridurre il rischio, viene consigliato un approccio di riduzione della superficie di attacco, incluso limitare l’esecuzione di wscript.exe per gli account utente standard, insieme a controlli su allegati, link e download di archivi compressi.