البرامج الضارة Graphiron

تم اكتشاف جهة تهديد متطورة لها صلات بروسيا تنشر برامج تهديد جديدة في هجمات إلكترونية مستهدفة على أوكرانيا. يتم تعقب تهديد المخترق باعتباره Graphiron بواسطة خبراء الأمن السيبراني. تُعرف مجموعة التجسس التي تقف وراء البرنامج الخبيث باسم Nodaria ويتم مراقبتها من قبل CERT-UA (فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا) ، الذي وصفها باسم UAC-0056.

تم تصميم برنامج Graphiron الضار ، المكتوب بلغة برمجة Go ، لجمع كمية كبيرة من البيانات من الأجهزة المصابة ، بدءًا من معلومات النظام وبيانات الاعتماد إلى لقطات الشاشة والملفات. من الجدير بالذكر أن Graphiron تبدو جزءًا من حملة مستمرة تستهدف أهدافًا أوكرانية. تم الكشف عن تفاصيل حول عمليات التهديد والبرمجيات الخبيثة Graphiron في تقرير صادر عن خبراء Infosec.

حملات هجوم متعددة منسوبة إلى Nodaria

نشطت مجموعة القراصنة Nodaria منذ أبريل 2021 على الأقل وهي معروفة بنشر أبواب خلفية مخصصة مثل GraphSteel و GrimPlant في عدة حملات بعد الغزو الروسي لأوكرانيا. تضمنت بعض التدخلات استخدام Cobalt Strike Beacon لما بعد الاستغلال. اكتشف CERT-UA نشاطه لأول مرة في يناير 2022 ، حيث كانوا يستخدمون برنامج SaintBot و OutSteel الضار في هجمات التصيد بالرمح ضد الكيانات الحكومية. تم ربط المتسللين أيضًا بهجوم ممسحة البيانات المدمر المعروف باسم " WhisperGate " أو "PAYWIPE" ، والذي يستهدف الكيانات الأوكرانية في نفس الوقت تقريبًا. تشمل الأسماء الأخرى التي تم تعقب قراصنة Nodaria عليها DEV-0586 و TA471 و UNC2589.

قدرات البرامج الضارة Graphiron

تعد Graphiron أحدث أداة تهديد للانضمام إلى ترسانة Nodaria. إنها نسخة محسنة من برنامج GraphSteel الضار السابق للمتسللين. بمجرد اختراقها للجهاز المستهدف ، يمكن لـ Graphiron تنفيذ أوامر shell وجمع المعلومات من النظام - بما في ذلك الملفات والتفاصيل ولقطات الشاشة ومفاتيح SSH. يتميز أيضًا باستخدامه للإصدار Go 1.18 (الذي تم إصداره في مارس 2022).

تشير الدلائل إلى أن Graphiron استُخدمت في البداية في هجمات من أكتوبر 2022 وظلت نشطة حتى منتصف يناير 2023 على الأقل. عند تحليل سلسلة العدوى ، تم اكتشاف عملية ذات مرحلتين يتم فيها استخدام أداة التنزيل لاسترداد حمولة مشفرة تحتوي على برنامج Graphiron الضار. من خادم بعيد.