Graphiron Malware

Разкрит е усъвършенстван заплашителен актьор с връзки с Русия, който внедрява нов заплашителен софтуер при насочени кибератаки срещу Украйна. Заплахата от инфокрадец се проследява като Graphiron от експерти по киберсигурност. Шпионската група зад злонамерения софтуер е известна като Nodaria и се наблюдава от CERT-UA (Екип за компютърно реагиране при извънредни ситуации на Украйна), който го маркира като UAC-0056.

Написан на езика за програмиране Go, зловредният софтуер Graphiron е проектиран да събира голямо количество данни от заразените машини, вариращи от системна информация и идентификационни данни до екранни снимки и файлове. Трябва да се отбележи, че Graphiron изглежда е част от текуща кампания, насочена срещу украински цели. Подробности за заплашващите операции и злонамерения софтуер Graphiron бяха разкрити в доклад на експерти по информационна сигурност.

Кампании с множество атаки, приписвани на Нодария

Хакерската група Nodaria е активна поне от април 2021 г. и е известна с внедряването на персонализирани задни врати като GraphSteel и GrimPlant в няколко кампании след нахлуването на Русия в Украйна. Някои прониквания са включвали използването на кобалтовия ударен маяк за последваща експлоатация. CERT-UA за първи път откри дейността им през януари 2022 г., когато използваха злонамерения софтуер SaintBot и OutSteel при фишинг атаки срещу държавни органи. Хакерите също са свързани с деструктивната атака за изтриване на данни, известна като „ WhisperGate “ или „PAYWIPE“, насочена към украински субекти приблизително по същото време. Други имена, които са проследени от хакерите на Nodaria, включват DEV-0586, TA471 и UNC2589.

Възможностите на Graphiron за злонамерен софтуер

Graphiron е най-новият заплашителен инструмент, който се присъединява към арсенала на Nodaria. Това е подобрена версия на предишния зловреден софтуер GraphSteel на хакерите. След като проникне в целевото устройство, Graphiron може да изпълнява команди на обвивката и да събира информация от системата - включително файлове, подробности, екранни снимки и SSH ключове. Освен това се откроява с използването на Go версия 1.18 (издадена през март 2022 г.).

Доказателствата сочат, че Graphiron първоначално е бил използван при атаки от октомври 2022 г. и е останал активен поне до средата на януари 2023 г. При анализиране на веригата на заразяване беше открит двуетапен процес, при който се използва програма за изтегляне, за да извлече криптиран полезен товар, съдържащ злонамерения софтуер Graphiron от отдалечен сървър.