Der Angriff beginnt mit einer Phishing-Mail, die vorgibt, von der Lernplattform Prometheus zu stammen, und den Empfängern Zertifikate für absolvierte Kurse verspricht. Im Anhang befindet sich ein PDF mit einem schädlichen Link, der ein ZIP-Archiv herunterlädt. Darin steckt die von CERT-UA als OysterFresh identifizierte Schadsoftware.
Die anschließende Infektionskette bringt laut CERT-UA die Komponenten OysterBlues und OysterShuck auf das System. Diese sammeln Informationen vom infizierten Gerät und übermitteln sie an eine von den Angreifern kontrollierte Infrastruktur, die hinter Cloudflare verborgen ist. Erfasst werden unter anderem der Computername, die Version des Betriebssystems, Angaben zum Benutzerkonto sowie laufende Prozesse.
CERT-UA warnt zudem, dass kompromittierte Systeme später eine Komponente erhalten könnten, die mit dem Angriffsframework Cobalt Strike in Verbindung steht – einem legitimen Werkzeug für Penetrationstests, das von Cyberkriminellen wie auch von staatlich gestützten Gruppen häufig missbraucht wird.
Zugeschrieben wird die Operation der Gruppe GhostWriter, die auch unter den Bezeichnungen UNC1151 und Storm-0257 geführt wird und nach Einschätzung von CERT-UA mit den belarussischen Staatsgeheimdiensten verbunden ist. In früheren Kampagnen hatte sie es auf ukrainisches Militärpersonal, polnische Regierungsinstitutionen und weitere Amtsträger der Region abgesehen – über den Diebstahl von Zugangsdaten und über Einflussoperationen.
Die als Köder genutzte Plattform Prometheus ist die größte Online-Lernplattform der Ukraine. Ihr Angebot reicht von Programmierung und Wirtschaft bis zur öffentlichen Verwaltung und umfasst auch Kurse zum Militärdienst und zur Drohnentechnik – ein thematischer Rahmen, der die gefälschten Zertifikatsangebote für die anvisierten Empfänger glaubwürdig erscheinen lässt.
Die Warnung folgt nur einen Tag auf eine weitere von CERT-UA offengelegte Spionagekampagne, die sich gegen Nutzer von Delta richtete – dem ukrainischen System zur Gefechtsführung und Lageerfassung. In jenem Fall verschickten bislang nicht identifizierte Angreifer Phishing-Mails, die sich als Warnungen ukrainischer Cybersicherheitsbehörden ausgaben und vor angeblichen unbefugten Zugriffen auf Delta-Konten warnten.
