文章总结： GhostwriterAPT组织以乌克兰在线学习平台为诱饵，通过钓鱼邮件向政府机构投放OYSTERFRESHJavaScript载荷，该载荷会展示诱饵文档并在后台植入Oysterblues后门，最终部署CobaltStrike实现持久控制。关键发现包括攻击链使用Cloudflare隐藏基础设施、.icu域名及注册表存储混淆数据。可操作建议为限制普通用户执行wscript.exe以阻断JS攻击路径。 综合评分： 85 文章分类： 威胁情报,恶意软件,应急响应,漏洞分析,APT事件

Ghostwriter 再次出现，利用乌克兰学习平台作为诱饵攻击政府目标

会杀毒的单反狗 会杀毒的单反狗

爱拍照的老李

2026年5月24日 09:00 湖北

在小说阅读器读本章

去阅读

导读

Ghostwriter 通过钓鱼邮件向乌克兰政府机构投放恶意软件和Cobalt Strike有效载荷。

与白俄罗斯有关联的APT组织Ghostwriter（也被追踪为UAC-0057和UNC1151）重新出现，发起针对乌克兰政府机构的新钓鱼活动。这次的诱饵针对一个合法的乌克兰在线学习平台，许多政府雇员实际上都在使用。使用熟悉且值得信赖的诱饵是刻意选择，正因为如此，它比泛泛的钓鱼更有效。

乌克兰计算机应急响应小组（CERT-UA）本周对该活动进行了标记，指出该活动自2026年春季开始运行。

发送方式很简单：从已被攻破的账户发送钓鱼邮件——让发件人看起来像真人——并附带PDF附件。PDF内部有一个链接，点击后可下载包含JavaScript文件的ZIP压缩包。技术上没什么突破性，但当邮件看起来来自已知联系人时就有效。

CERT-UA在公告中写道：“通常，邮件包含一个PDF附件，点击后会下载包含JavaScript文件的ZIP压缩包。”

上述 JS 文件被归类为 OYSTERFRESH，它提供诱饵文档的显示、以混淆和编码形式进入操作系统注册表的Oysterblues软件工具，以及加载和启动 OYSTERSHUCK 组件，该组件作为上述 Oysterblues 的解码器。在解码、字符串反转、ROT13变换和URL解码方面，特别是顺序使用。”

这个名为 OYSTERFRESH 的 JavaScript 文件同时处理两件事：它向受害者展示一个诱饵文档，足够合理以避免怀疑;同时在后台将一个名为 Oysterblues 的混淆加密负载放入 Windows 注册表，并下载一个名为 OYSTERSHUCK 的独立组件，负责解码并在时机启动Oysterblues。

Oysterblues才是真正的主力。运行后，它会对被攻破系统进行分析，获取计算机名称、用户名、操作系统版本、最后启动时间和正在运行进程的列表，并通过HTTP POST将所有内容发送到命令与控制服务器。然后等待指令，指令以 JavaScript 代码的形式通过 eval（） 函数实时执行。追踪该链的最后一个有效载荷被认为是Cobalt Strike，这是一个被广泛滥用的后利用框架，能让攻击者持续且灵活地访问被攻破系统的权限。

CERT-UA提供了一个实用的缓解措施，但在噪音中很容易被忽视。

“对于UAC-0057（UNC1151），基础设施通常隐藏在Cloudflare之后，且大量使用的域名属于.icu TLD。”报道继续说道。“为了降低上述网络威胁被实施的可能性，建议采用已知的基本方法来减少攻击面，特别是限制普通用户账户运行wscript.exe的能力。”

阻止标准用户运行wscript.exe切断了这些活动最常用的JavaScript执行路径之一——一个具有实质防御效果的小配置改动。

威胁组织Ghostwriter（又名UNC1151，UAC-0057）与白俄罗斯有关联。

2020年8月，FireEye的安全专家揭露了一场旨在通过在被攻破新闻网站传播假新闻内容来抹黑北约的虚假信息运动。据FireEye报道，名为“GhostWriter”的活动至少自2017年3月起持续进行，且与俄罗斯安全利益保持一致。

今年二月，SentinelLABS观察到一场针对白俄罗斯反对派活动家以及乌克兰军方和政府实体的新Ghostwriter活动，推出了一种新的PicassoLoader变体。该活动自2024年底开始活跃，攻击者利用武器化的Microsoft Excel文档作为诱饵。

研究人员认为该运动仍在进行中，SentinelLABS表示这些攻击是长期“Ghostwriter”活动的延伸。

技术报告：

《更新后的 UAC-0057 工具包：OYSTERFRESH、OYSTERSHUCK 和 OYSTERBLUES》

https://cert.gov.ua/article/6315762

新闻链接：

Ghostwriter Is Back, Using a Ukrainian Learning Platform as Bait to Hit Government Targets

今日安全资讯速递

APT事件

Advanced Persistent Threat

1. 俄罗斯威胁组织使用 RDP、VPN、供应链攻击和社会工程进行初始访问

俄罗斯黑客组织从利用远程桌面工具和虚拟私人网络，到操控可信供应链以及通过社会工程欺骗员工，攻击者已经建立了一个危险且多用途的工具包，以获得初始访问权限。

🔗https://cybersecuritynews.com/russian-threat-groups-use-rdp-vpn-supply-chain-attacks/

2. Ghostwriter 再次出现，利用乌克兰学习平台作为诱饵攻击政府目标

Ghostwriter 通过钓鱼邮件向乌克兰政府机构投放恶意软件和Cobalt Strike有效载荷。

🔗https://securityaffairs.com/192538/apt/ghostwriter-is-back-using-a-ukrainian-learning-platform-as-bait-to-hit-government-targets.html

3. 分析 Void Dokkaebi 的 Cython 编译的隐形 Ferret 恶意软件

Void Dokkaebi，一个与朝鲜有关联的入侵集，已更新其信息窃取恶意软件InvisibleFerret，将其分发格式进行更改以逃避基于脚本的检测。

🔗https://www.trendmicro.com/en_us/research/26/e/analyzing-void-dokkaebi-invisibleferret-malware.html

4. 黑客滥用中东电信网络进行大规模指挥控制行动

黑客利用中东地区的电信网络和托管服务提供商作为大规模指挥控制行动的基础，将可信赖的基础设施变成网络攻击的跳板。一份新发布的威胁情报报告显示，仅仅三个月内，该地区98家基础设施提供商就识别出超过1350台活跃的指挥与控制（C2）服务器。

🔗https://cybersecuritynews.com/hackers-abuse-middle-east-telecom-networks/

一般威胁事件

General Threat Incidents

1. Packagist 供应链攻击感染了 8 个包，使用了 GitHub 托管的 Linux 恶意软件

一个新的“协同”供应链攻击活动已影响了 Packagist 上的八个软件包，其中包括恶意代码，旨在从 GitHub Releases URL 检索并运行 Linux 二进制文件。

🔗https://thehackernews.com/2026/05/packagist-supply-chain-attack-infects-8.html

2. npm 增加了 2FA 门控发布和包安装控制，以防范供应链攻击

GitHub 推出了新的 npm 控制措施，以提升软件供应链的安全性，使维护者能够在软件包公开安装前明确批准发布。该功能现已在 npm 上公开提供，要求人工维护者通过双因素认证（2FA）挑战以批准包，才能推送到npmjs[.]com。

🔗https://thehackernews.com/2026/05/npm-adds-2fa-gated-publishing-and.html

3. Laravel-Lang PHP 包被入侵以分发跨平台凭证窃取工具

网络安全研究人员已指出一项新的软件供应链攻击活动，该活动针对多个属于 Laravel-Lang 的 PHP 包，以分发全面的凭证窃取框架。

🔗https://thehackernews.com/2026/05/laravel-lang-php-packages-compromised.html

4. 黑客利用F5 BIG-IP获取SSH访问并转向Linux网络

攻击者正在积极利用已过时的F5 BIG-IP设备，以获得对企事业网络的未经授权的SSH访问权限，利用被攻破的设备作为发起复杂多阶段入侵活动的跳板，最终目标是针对Active Directory基础设施。

🔗https://gbhackers.com/exploit-f5-big-ip-ssh-access/

5. 数百万设备面临风险：新型木马监视智能手机

此特洛伊木马最令人担忧的功能是其实时监控功能与协调攻击系统的结合。除了窃取凭证外，该恶意软件会将实时屏幕内容传输到远程服务器，创建持续的视觉画面，使攻击者能够实时观察活动并拦截认证步骤。加密的通信通道将受感染设备连接到中央…

🔗https://www.cysecurity.news/2026/05/millions-of-devices-at-risk-new-trojan.html

6. 黑客利用SEO毒化伪造Gemini CLI和Claude安装程序

有经济动机的威胁组织正在开展一项积极攻击活动，假冒谷歌的Gemini CLI和Anthropic的Claude Code，利用SEO毒化技术向全球开发人员的工作站分发无文件的PowerShell信息窃取工具。

🔗https://gbhackers.com/seo-poisoning-gemini-cli-claude-installers/

漏洞事件

Vulnerability Incidents

1. CVE-2026-9082：Drupal的高危SQL注入漏洞已遭活跃攻击

攻击者在补丁发布后的48小时内就开始利用Drupal SQL注入漏洞CVE-2026-9082。该漏洞是一个SQL注入漏洞，允许未授权攻击者入侵运行PostgreSQL数据库的网站。

🔗https://securityaffairs.com/192557/security/cve-2026-9082-drupals-highly-critical-sql-injection-flaw-is-already-under-active-attack.html

2. LiteSpeed cPanel 插件 CVE-2026-48172 被利用以 root 权限运行脚…

一个影响 LiteSpeed User-End cPanel 插件的最高严重性安全漏洞正在野外被积极利用。

🔗https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html

3. RondoDox 僵尸网络利用 2018 年关键漏洞劫持华硕路由器

网络安全公司VulnCheck揭示，黑客正在利用一个2018年的关键漏洞绕过身份验证，入侵超过一百万台ASUS路由器。

🔗https://hackread.com/rondodox-botnet-2018-vulnerability-hijack-asus-routers/

4. Ubiquiti 修复关键 UniFi OS 权限提升漏洞

Ubiquiti 已针对其 UniFi OS 平台上的五个关键和高严重性漏洞发布了紧急安全补丁，这些漏洞可能允许远程攻击者在多种 UniFi 设备上执行任意命令并提升权限。

🔗https://gbhackers.com/ubiquiti-unifi-os-privilege-escalation/

5. Nginx-poolslip 漏洞允许发起拒绝服务和代码执行攻击

一个新披露的漏洞存在于全球最广泛部署的Web服务器之一中，迫使管理员进入另一个紧急补丁周期。该漏洞被标记为CVE-2026-9256，并被公开昵称为nginx-poolslip，影响NGINX Plus和NGINX开源版本，可以通过普通HTTP由远程未认证的攻击者触发。

🔗https://cybersecuritynews.com/nginx-poolslip-vulnerability/

7. “Underminr” 漏洞允许攻击者在可信域名后隐藏恶意连接

这个隐蔽的漏洞影响大约8800万个域名，可以被利用来绕过DNS过滤并隐藏命令与控制流量。

🔗https://www.securityweek.com/underminr-vulnerability-lets-attackers-hide-malicious-connections-behind-trusted-domains/

8. 微软警告：Windows 零日漏洞“YellowKey”可绕过 BitLocker

微软已为YellowKey这一可报告绕过BitLocker保护的Windows零日漏洞发布了临时缓解措施。

🔗https://www.techrepublic.com/article/news-microsoft-yellowkey-bitlocker-bypass-mitigation/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱拍照的老李 会杀毒的单反狗 会杀毒的单反狗《Ghostwriter 再次出现，利用乌克兰学习平台作为诱饵攻击政府目标》