Ghostwriter атакує держоргани України через фішинг під виглядом PrometheusУрядові організації України стали ціллю кампанії Ghostwriter, також відомої як UAC-0057 та UNC1151. За даними CERT-UA, атаки тривають із весни 2026 року, а листи надходять зі зламаних облікових записів.Зловмисники маскують повідомлення під темою платформи Prometheus. У листі є PDF-файл із посиланням на ZIP-архів із JavaScript-файлом.Після запуску OYSTERFRESH показує фальшивий документ і записує зашифрований OYSTERBLUES у реєстр Windows. Модуль OYSTERSHUCK розшифровує його та запускає наступний етап атаки.OYSTERBLUES збирає ім’я комп’ютера, обліковий запис, версію ОС і список процесів. Дані йдуть на сервер через HTTP POST. Далі система очікує подальших відповідей, що містять JavaScript-код, який виконується за допомогою функцій eval(). Остаточним фінальним навантаженням є Cobalt Strike – фреймворк, який часто використовується для симуляції дій зловмисників після успішної експлуатації системи.Окремого патча немає: це фішингова кампанія, а не вразливість у продукті.Рекомендації для користувачів: • Обмежте запуск wscript.exe для звичайних користувачів. • Перевіряйте PDF-файли й посилання навіть із довірених адрес. • Увімкніть багатофакторну автентифікацію та моніторинг скриптів.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews#cybersecurity#itspecialist