Как понять, что письмо похоже на фишинг?

Чаще всего выдают срочный тон, неожиданные вложения, странный адрес отправителя и ссылки на скачивание файлов. Если письмо просит открыть PDF, архив или скрипт без понятного повода, его лучше перепроверить через другой канал.

Почему вредоносные письма так часто проходят через почту?

Потому что злоумышленники маскируют их под обычную рабочую переписку и используют скомпрометированные аккаунты. Техническая защита помогает, но решающим остаётся внимание пользователя.

Что даёт ограничение запуска wscript.exe?

Это сужает возможности для атак, где злоумышленники полагаются на скрипты Windows. Если обычный пользователь не может запускать такие файлы, часть вредоносных цепочек просто не срабатывает.

Ghostwriter атакует госорганы через фишинг

Группа Ghostwriter, которую связывают с Белоруссией и которую также отслеживают под именами UAC-0057 и UNC1151, с весны 2026 года бьёт по украинским госорганам через письма с приманкой под названием Prometheus. CERT-UA пишет, что злоумышленники используют скомпрометированные учётные записи, а сами письма выглядят как обычная служебная переписка.

Внутри письма лежит PDF-файл со ссылкой. После перехода жертва скачивает ZIP-архив, где спрятан JavaScript-файл. Дальше начинается типичная для таких кампаний цепочка: подмена, запуск вредоноса и попытка забрать данные с компьютера.

История инцидента

По версии CERT-UA, Ghostwriter ведёт эту кампанию с весны 2026 года. Приманка завязана на Prometheus — украинскую онлайн-платформу для обучения, что помогает письмам выглядеть убедительно для чиновников и сотрудников ведомств.

Сценарий атаки выстроен аккуратно. JavaScript-файл с именем OYSTERFRESH показывает поддельный документ, чтобы отвлечь пользователя, а затем записывает в реестр Windows зашифрованную нагрузку OYSTERBLUES и запускает OYSTERSHUCK для её расшифровки. В финале злоумышленники, по оценке исследователей, пытаются доставить Cobalt Strike — инструмент, который часто используют уже после проникновения в сеть.

OYSTERBLUES собирает сведения о машине: имя компьютера, учётную запись, версию ОС, время последней загрузки и список запущенных процессов. Эти данные уходят на управляющий сервер через HTTP POST-запрос.

Что пошло не так в защите

Слабое место здесь — не одна ошибка, а целая цепочка. Атака стартует с письма, которое проходит через доверие к знакомому бренду и к скомпрометированному адресу отправителя. Если сотрудник открывает вложение и идёт по ссылке, защитный периметр уже начинает сыпаться.

CERT-UA отдельно рекомендует ограничить запуск wscript.exe для обычных пользователей. Это важная подсказка: злоумышленники часто опираются на штатные средства Windows, потому что такие файлы и процессы меньше бросаются в глаза антивирусам и администраторам.

Похожую логику защиты мы уже видели в разборе утечки секретов в CISA: одна небрежность редко приводит к катастрофе сама по себе, но цепочка мелких ошибок открывает дорогу атакующему.

Уроки для читателя

Эта история полезна не только для госструктур. Схемы с письмами-приманками, архивами и поддельными документами одинаково хорошо работают против компаний, редакций, НКО и обычных пользователей. Меняется только обёртка — суть остаётся прежней: заставить человека запустить вредонос своими руками.

Отдельный вывод касается привычки доверять знакомым названиям. Если письмо ссылается на учебный сервис, внутренний портал или службу поддержки, это ещё не значит, что оно безопасно. Проверка адреса отправителя, вложений и ссылок должна быть рутиной, а не экстренной мерой.

В теле атаки виден и более широкий тренд: злоумышленники всё чаще собирают инфраструктуру из готовых блоков, а затем настраивают её под конкретную цель. Это удешевляет кампании и ускоряет их запуск. В похожем ключе работают многие группы, о которых мы писали в материале о новой атаке на операторов связи.

Практические выводы и чек-лист

Для офисов и домашних пользователей набор мер примерно один и тот же: меньше доверия к письмам, больше контроля над запуском скриптов и внимательнее к вложениям. Если вы работаете из кафе, отеля или аэропорта, для личных задач разумно использовать отдельный защищённый канал для открытых сетей, а рабочие документы держать подальше от случайных подключений.