CERT-UA: Оновлений інструментарій групи UAC-0057 для атак на держсектор

З весни 2026 року CERT-UA фіксує активізацію групи UAC-0057, яка використовує нові інструменти для атак на українські державні установи. Зловмисники маскують свої листи під офіційні повідомлення, зокрема, пов'язані з платформою Prometheus.

► ЩО СТАЛОСЬ█

Державна служба спеціального зв'язку та захисту інформації України (Держспецзв'язку) через CERT-UA повідомила про оновлення інструментарію групи кіберзлочинців, відомої як UAC-0057. Починаючи з весни 2026 року, спостерігаються численні спроби компрометації облікових записів у державних організаціях. Зловмисники використовують соціальну інженерію, надсилаючи електронні листи, тематика яких пов'язана з отриманням сертифікатів через онлайн-платформу Prometheus, що є популярним ресурсом для навчання в Україні.

► ТЕХНІЧНІ ДЕТАЛІ█

Група UAC-0057 розробила та активно використовує новий набір інструментів, який отримав кодові назви OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES. Ці інструменти дозволяють зловмисникам здійснювати різноманітні шкідливі дії, зокрема:

OYSTERFRESH: Ймовірно, використовується для початкового доступу та розвідки.
OYSTERSHUCK: Може бути задіяний для подальшої компрометації системи та розширення привілеїв.
OYSTERBLUES: Ймовірно, відповідає за викрадення даних або встановлення постійного доступу.

Використання скомпрометованих облікових записів дозволяє зловмисникам обходити стандартні засоби захисту та підвищує ймовірність успіху атаки.

► КОМУ ЗАГРОЖУЄ█

Основною мішенню для групи UAC-0057 є державні організації України. Використання тематики, пов'язаної з освітніми платформами, такими як Prometheus, свідчить про спробу залучити ширше коло співробітників, які можуть бути менш обізнані про кіберзагрози.

► РЕКОМЕНДАЦІЇ█

Для мінімізації ризиків рекомендується вжити наступних заходів:

Підвищення обізнаності персоналу: Проведення регулярних тренінгів з кібербезпеки, особливо щодо розпізнавання фішингових листів та підозрілих вкладень.
Посилення контролю доступу: Впровадження багатофакторної автентифікації (MFA) для всіх облікових записів, особливо для доступу до критично важливих систем.
Моніторинг та аналіз: Постійний моніторинг мережевої активності та журналів подій для виявлення підозрілої поведінки.
Оновлення програмного забезпечення: Забезпечення своєчасного оновлення операційних систем та прикладного програмного забезпечення для усунення відомих вразливостей.

🔗 Джерело: CERT-UA →