PhishingMalwareHackerangriffe

Ghostwriter-Kampagne: Ukrainische Regierungsbehörden mit Prometheus-Phishing angegriffen

Von CyberDeutsch Redaktion
Ghostwriter-Kampagne: Ukrainische Regierungsbehörden mit Prometheus-Phishing angegriffen
Zusammenfassung

Die belarussisch ausgerichtete Hackergruppe Ghostwriter (auch als UAC-0057 bekannt) führt seit Frühjahr 2026 gezielt Phishing-Angriffe gegen ukrainische Regierungseinrichtungen durch. Die Anschläge nutzen Köder, die sich auf Prometheus beziehen, eine populäre ukrainische E-Learning-Plattform, um Glaubwürdigkeit zu schaffen. Die Cyberkriminellen versenden Phishing-E-Mails mit präparierten PDF-Anhängen über kompromittierte Konten an Behördenvertreter. Beim Anklicken von Links werden ZIP-Archive mit JavaScript-Dateien heruntergeladen, die als Malware-Träger fungieren. Das eigentliche Schadprogramm namens OYSTERBLUES wird verschleiert in der Windows-Registry abgelegt und sammelt systematisch Systeminformationen wie Computername, Benutzerkonten und laufende Prozesse. Die gestohlenen Daten werden an externe Server übermittelt, bevor das finale Payload – das Penetrations-Tool Cobalt Strike – aktiviert wird. Für deutsche Unternehmen und Behörden ist diese Entwicklung bedeutsam, da vergleichbare Angriffsmuster auch gegen westliche Institutionen eingesetzt werden könnten. Die Attacken unterstreichen die wachsende Professionalisierung von staatlich unterstützten Hackergruppen und verdeutlichen, wie wichtig robuste Sicherheitsmaßnahmen gegen Social Engineering sind.

Die Ghostwriter-Gruppe operiert mit einer raffinierten Kombination aus Social Engineering und mehrstufiger Malware-Architektur. Zentrales Element der Kampagne sind E-Mails, die scheinbar von legitimen Quellen stammen und PDF-Anhänge mit versteckten Links enthalten. Beim Anklicken des Links wird ein ZIP-Archiv heruntergeladen, das eine JavaScript-Datei enthält – der Beginn einer mehrstufigen Infektionskette.

Die Malware nutzt drei Komponenten mit designierten Codenamen: OYSTERFRESH fungiert als Ablenkungsmechanismus und zeigt dem Nutzer ein täuschend echtes Dokument an, während im Hintergrund die Komponente OYSTERBLUES – verschlüsselt und obfuskiert – in die Windows Registry geschrieben wird. OYSTERSHUCK decodiert anschließend OYSTERBLUES und aktiviert es. Die Malware sammelt systematisch Systeminformationen: Computername, Benutzerkonto, Windows-Version, Boot-Zeit und eine Liste laufender Prozesse. Diese Daten werden an einen Command-and-Control-Server über HTTP übertragen.

Besonders kritisch ist die Architektur für Fernsteuerung: Der Malware-Code wartet auf Befehle vom C2-Server und führt neue JavaScript-Payloads aus – das finale Ziel ist typischerweise Cobalt Strike, ein Post-Exploitation-Framework, das für Netzwerk-Durchdringung und Datendiebstahl missbraucht wird.

CERT-UA empfiehlt Schutzmaßnahmen, die auf grundlegenden Sicherheitsprinzipien basieren: Die Ausführung von wscript.exe sollte für Standard-Benutzerkonten blockiert werden. Damit wird verhindert, dass JavaScript-Dateien automatisch ausgeführt werden.

Der Bericht ist in einen größeren Kontext eingebettet: Ukrainische Behörden berichten von russischen Akteuren, die KI-Tools wie ChatGPT und Google Gemini nutzen, um Ziele zu identifizieren und Malware zu generieren. Gleichzeitig wurde eine weitere Kampagne des Kremls aufgedeckt: Die Social Design Agency aus Moskau hat seit 2024 echte Bluesky-Nutzer-Konten gehackt, um Fake-Content zu verbreiten. Journalist:innen und Akademiker:innen waren Ziele dieser Informationskriegsführung.

Für deutsche IT-Sicherheitsfachleute ist die Kampagne ein Lehrstück über moderne Angreifer-Taktiken – kombiniertes Credential-Compromise mit mehrstufiger Malware und KI-gestützter Zielauswahl.

Ähnliche Artikel