Eine mit Belarus verbundene Hackergruppe namens **GhostWriter** (auch bekannt als UNC1151 und Storm-0257) hat eine neue Spionagekampagne gestartet, die sich gegen ukrainische Regierungsbeamte richtet. Die Kampagne nutzt hochentwickelte Phishing-E-Mails, die als Nachrichten einer beliebten Online-Lernplattform in der Ukraine, **Prometheus**, getarnt sind, um Malware zu verbreiten. Laut dem ukrainischen Computer-Notfallreaktionsteam, **CERT-UA**, ist die Kampagne seit Frühjahr 2024 aktiv und beinhaltet Phishing-E-Mails, die von kompromittierten Konten an Mitarbeiter von Regierungsbehörden gesendet werden. ### Details zum Phishing-Schema Die E-Mails sind so gestaltet, dass sie wie legitime Nachrichten von **Prometheus** aussehen und angeblich Zertifikate für den Abschluss von Online-Kursen anbieten. **Prometheus** bietet eine breite Palette von Kursen an, darunter solche in den Bereichen Programmierung, Wirtschaft, öffentliche Verwaltung, Militärdienst und sogar Drohnentechnik, was sie zu einer effektiven Köderung macht. ### GhostWriter's Modus Operandi **GhostWriter**, ein Akteur, der mit belarussischen staatlichen Geheimdiensten in Verbindung gebracht wird, hat eine Geschichte von Angriffen auf ukrainisches Militärpersonal, polnische Regierungsinstitutionen und andere Beamte in der Region. Ihre früheren Taktiken umfassen den Diebstahl von Anmeldeinformationen und Einflussoperationen. ### Malware-Bereitstellung und Infektionskette Die Phishing-E-Mails enthalten einen PDF-Anhang mit einem bösartigen Link. Dieser Link lädt ein ZIP-Archiv herunter, das Malware namens OysterFresh enthält. Die Malware-Kette setzt dann Komponenten namens OysterBlues und OysterShuck ein. Diese Komponenten sind darauf ausgelegt, Systeminformationen von infizierten Geräten zu sammeln und an von Angreifern kontrollierte Infrastrukturen zu übertragen, die hinter **Cloudflare** verborgen sind. ### Datenexfiltration und potenzielle Cobalt Strike-Bereitstellung **CERT-UA** berichtet, dass die Malware eine umfassende Palette von Details sammelt, darunter den Computernamen, die Betriebssystemversion, Benutzerkontoinformationen und eine Liste der laufenden Prozesse. Die Behörde warnt auch davor, dass kompromittierte Systeme potenziell eine **Cobalt Strike**-bezogene payload erhalten könnten, ein legitimes Penetrationstest-Tool, das häufig von Cyberkriminellen und staatlich unterstützten Gruppen für bösartige Zwecke missbraucht wird. ### Jüngste Spionagekampagne gegen Delta-System Diese Warnung folgt auf eine kürzlich erfolgte Enthüllung durch **CERT-UA** bezüglich einer weiteren Spionagekampagne, die sich gegen Nutzer von Delta, dem ukrainischen System für Gefechtsfeldmanagement und Lageerfassung, richtet. Bei dieser Operation sendeten Angreifer Phishing-E-Mails, die sich als Warnungen von ukrainischen Cybersicherheitsagenturen ausgaben und die Empfänger über angeblich unbefugten Zugriff auf Delta-Konten informierten.