Ghostwriter: Prometheus-Phishing gegen ukrainische Regierung

Der Belarus-nahe Akteur Ghostwriter nutzt Prometheus-Lures, um ukrainische Regierungsbehörden mit Phishing-Malware anzugreifen. CERT-UA warnt vor neuen …

Prometheus Phishing Malware

Wer steckt hinter Ghostwriter?

Prometheus Phishing Malware

Ghostwriter, auch bekannt als UAC-0057 und UNC1151, ist ein Bedrohungsakteur, der seit Jahren mit Belarus in Verbindung gebracht wird. Die Gruppe zielt bevorzugt auf ukrainische Regierungsstellen, aber auch auf Militär und NGOs. Ihre Taktik: gezielte Phishing-E-Mails mit Malware, die oft auf bekannte Plattformen verweisen.

Diesmal nutzen sie die Bildungsplattform Prometheus als Köder. Das ist ein cleverer Schachzug – denn viele ukrainische Beamte nutzen Prometheus für Fortbildungen. Genau diese Vertrautheit macht den Angriff so gefährlich.

Wie funktioniert der Angriff?

Prometheus Phishing Malware

Die E-Mails sehen täuschend echt aus. Sie enthalten Links zu einer gefälschten Prometheus-Seite, die nach Anmeldedaten fragt. Wer seine Zugangsdaten eingibt, lädt unbemerkt Malware herunter. CERT-UA berichtet von mehreren erfolgreichen Infektionen in Regierungsnetzwerken.

Besonders perfide: Die Malware tarnt sich als legitime Software-Updates. Sie kann Passwörter stehlen, Screenshots machen und sogar Mikrofone aktivieren. Ein Albtraum für jede Behörde.

Warum Sie jetzt handeln sollten

Sie arbeiten im öffentlichen Dienst? Dann sind Sie ein potenzielles Ziel. Ghostwriter hat es nicht nur auf die Ukraine abgesehen – ähnliche Kampagnen gab es schon in Polen und Litauen. Prüfen Sie jede E-Mail mit Prometheus-Betreff genau. Geben Sie niemals Ihre Zugangsdaten auf einer Seite ein, die Sie per Link erreicht haben.

Die CERT-UA empfiehlt: Aktivieren Sie Zwei-Faktor-Authentifizierung für alle beruflichen Konten. Und schulen Sie Ihre Kollegen im Erkennen von Phishing. Denn der beste Schutz ist ein wachsames Auge.

Was Prometheus damit zu tun hat

Prometheus ist eine der größten Online-Lernplattformen der Ukraine. Tausende Regierungsmitarbeiter nutzen sie täglich. Ghostwriter missbraucht dieses Vertrauen systematisch. Die Plattform selbst ist nicht kompromittiert – die Angreifer fälschen lediglich deren Erscheinungsbild.

Doch die Wirkung ist enorm. Ein einziger gekaperter Account kann Zugang zu sensiblen Regierungsdaten verschaffen. Und von dort aus ist der Weg zu weiteren Systemen kurz. Ghostwriter ist bekannt dafür, solche Einstiegspunkte monatelang unentdeckt zu nutzen.

Technische Details der Malware

Die eingesetzte Malware gehört zur Familie der sogenannten Loader. Sie lädt nach der Installation weitere Schadsoftware nach. CERT-UA identifizierte Verbindungen zu bekannten C2-Servern, die bereits in früheren Ghostwriter-Kampagnen genutzt wurden. Ein klares Fingerabdruck des Akteurs.

Die Malware vermeidet Sandbox-Umgebungen und löscht sich selbst, wenn sie verdächtige Analysewerkzeuge erkennt. Das macht sie schwer zu untersuchen. Nur durch koordinierte Abwehrmaßnahmen mehrerer Behörden gelang die Identifikation.

Wie schützen Sie sich?

Erstens: Seien Sie misstrauisch bei unerwarteten E-Mails mit Links zu Prometheus. Zweitens: Prüfen Sie die Absenderadresse genau. Drittens: Nutzen Sie eine separate E-Mail-Adresse für Plattform-Anmeldungen. Viertens: Melden Sie verdächtige E-Mails sofort Ihrer IT-Abteilung.

Die CERT-UA hat eine Liste mit Indikatoren für Kompromittierung (IoC) veröffentlicht. Überprüfen Sie Ihre Systeme darauf. Und teilen Sie diese Informationen mit Ihrem Netzwerk – denn Ghostwriter schläft nicht.

Comments

Post a Comment

Popular posts from this blog

TP-Link Tapo 3.18.116 APK Review: Smart Home App Update

Image
The TP-Link Tapo app version 3.18.116 brings refinements to device management and user experience for your smart home ecosystem. We analyze the update. Beyond the Version Number: What This Update Actually Means Another version number hits the app store . It's easy to scroll past it, thinking it's just another routine patch. But sometimes, even minor increments like moving from 3.18.115 to 3.18.116 can signal important shifts under the hood. For users invested in the TP-Link Tapo ecosystem—spanning cameras, plugs, bulbs, and sensors—this update is about stability and polish, not flashy new features. That’s a good thing. Stability First: The Unseen Improvements Let's be clear: you won't open the app to find a radically new interface or a groundbreaking feature you never knew you needed. The core improvements in version 3.18.116 are preventative and performance-oriented. Think fewer dropped connections when checking your outdoor camera feed on a weak Wi-Fi s...
Read more

Latest Android Games on Aptoide: Discover Trending & New …

Image
Discover the latest trending and newly released Android games on Aptoide, from indie gems to unique puzzle and strategy titles you won't find elsewhere. Why Your Next Favorite Game Might Not Be on Google Play Let's be honest. Scrolling through the same curated lists on the official store can feel repetitive. You see the same major publishers, the same ad-heavy clones, the same endless sequels. It's a walled garden, meticulously pruned. But what grows in the wild? Platforms like Aptoide offer a different ecosystem entirely—one where independent developers and regional hits often bloom first. This isn't about sideloading questionable software; it's about accessing a broader, more diverse gaming landscape. The latest Android games aren't always the ones with the biggest marketing budgets. A Closer Look at What's Trending Now The raw list from Aptoide reveals fascinating patterns. It's a mix of genres and ambitions, reflecting what real players ...
Read more

Microsoft Word Beta APK: What's New in Version 16.0.19929…

Image
The Microsoft Word beta APK, version 16.0.19929.20074, offers a sneak peek at upcoming features and performance tweaks for Android users. Why Beta Software Matters Most people just wait for the official update notification. They miss the point entirely. Beta versions are where the real story unfolds—a raw look at a developer's priorities and unfinished ideas. This specific build, 16.0.19929.20074 , isn't a monumental public release. It's a quiet signal of what Microsoft is tinkering with behind the scenes. Think of it as a backstage pass. What You Can Expect from This Build Official changelogs for beta releases are often sparse or non-existent. The changes are usually under-the-hood: stability improvements, bug fixes from previous test cycles, or early code for features that aren't yet active. The version number suggests it's part of an ongoing development branch for Word on mobile. You might notice slightly faster load times for complex documents. Fo...
Read more