Beobachtungen
Analysten von SentinalLABS
entdeckten eine neue Ghostwriter-Kampagne, die sich gegen Oppositionelle in Belarus sowie gegen ukrainische Ziele aus den Bereichen
Militär und Regierung richtet. Die Kampagne dauert wahrscheinlich bereits seit November oder Dezember 2024 an. Anhand untersuchter
Malware-Samples und Command-and-Control-Strukturen (C2) gehen die Analysten davon aus, dass die Kampagne nach wie vor fortgesetzt wird.
Hintergrund und Methoden
Die Angreifer verwenden manipulierte Excel-Dokumente, die über Phishing-E-Mails verteilt werden, um schädliche Software zu
installieren. Die verwendeten Techniken zur Verschleierung von (Malware-)Programmcode ermöglichten den Analysten eine Verbindung
zwischen der aktuellen Kampagne und dem Malware-Cluster PicassoLoader herzustellen. PicassoLoader wurde bereits bei Cyberangriffen gegen
Ziele der öffentlichen Verwaltung, Militär und zivile Einrichtungen eingesetzt und wird mit dem Akteur Ghostwriter in Verbindung
gebracht.
Attribution
Bei Ghostwriter handelt es sich um eine lang andauernde Kampagne, die wahrscheinlich seit bereits 2016 aktiv ist. Die Aktivitäten des
Cyberakteurs werden dem russischen Staat und konkret dem russischen Militärgeheimdienst GRU zugeordnet. Der Akteur
unterhält aber auch enge Beziehungen zu Belarus‘ Regierung und deren Cyberspionage-Bemühungen. Die Kampagne ist zudem unter
den Bezeichnungen UNC1151 und UAC-0057 bekannt. In einigen öffentlichen Berichterstattungen wird auch der Begriff Ghostwriter APT
verwendet, um dadurch sowohl auf den Akteur als auch auf die Kampagne zu verweisen. Ghostwriter nahm in der Vergangenheit wiederholt Ziele
in Europa, darunter auch Deutschland, ins Visier. Der Cyberabwehr des LfV BW ist der Akteur aus der Bearbeitung vergangener Fälle
bekannt. Auf unserer Homepage haben wir bereits darüber berichtet.
Empfehlungen
Ghostwriter war in den letzten Jahren durchweg aktiv und setzt seine Anstrengungen fort, Ziele anzugreifen, die mit den Interessen
Russlands und seinem engsten Verbündeten Weißrussland übereinstimmen. Während Belarus nicht aktiv an militärischen
Kampagnen im Krieg gegen die Ukraine teilnimmt, nehmen Cyberakteure regelmäßig Ziele in der Ukraine ins Visier. Aufgrund der
andauernden Unterstützung der Ukraine durch Deutschland, ist daher auch mit erneuten Angriffen Ghostwriters gegen deutsche Ziele zu
rechnen. Ghostwriter hat in Deutschland bereits versucht, politische Parteien und Stellen der öffentlichen Verwaltung anzugreifen und
gezielt Falschnachrichten zu verbreiten. Im Hinblick auf die Landtagswahl 2026 ist daher nicht auszuschließen, dass Ghostwriter
über Cyberangriffe den Meinungsbildungsprozess im Vorfeld der Wahl beeinflussen könnte.
SentinelLABS stellt einen ausführlichen Bericht sowie Indicators of Compromise (IOCs) zur Verfügung. Wir raten daher, die eigenen Systeme anhand der IOCs auf eine mögliche Betroffenheit zu prüfen.