Graphiron Malware

S'ha descobert un sofisticat actor d'amenaces amb enllaços amb Rússia desplegant nou programari amenaçador en ciberatacs dirigits a Ucraïna. Els experts en ciberseguretat rastregen l'amenaça infostealer com a Graphiron. El grup d'espionatge que hi ha darrere del programari maliciós es coneix com a Nodaria i està supervisat pel CERT-UA (Equip de Resposta a Emergències Informàtiques d'Ucraïna), que el va etiquetar com a UAC-0056.

Escrit en el llenguatge de programació Go, el programari maliciós Graphiron està dissenyat per recopilar una gran quantitat de dades de les màquines infectades, que van des d'informació i credencials del sistema fins a captures de pantalla i fitxers. Cal destacar que Graphiron sembla formar part d'una campanya en curs dirigida a objectius ucraïnesos. Els detalls sobre les operacions amenaçadores i el programari maliciós Graphiron es van revelar en un informe d'experts d'infosec.

Campanyes d'atac múltiple atribuïdes a Nodaria

El grup de pirates informàtics Nodaria ha estat actiu almenys des d'abril de 2021 i és conegut per desplegar portes posteriors personalitzades com GraphSteel i GrimPlant en diverses campanyes després de la invasió d'Ucraïna per part de Rússia. Algunes intrusions han inclòs l'ús del Cobalt Strike Beacon per a la post-explotació. CERT-UA va detectar per primera vegada la seva activitat el gener de 2022, on estaven utilitzant el programari maliciós SaintBot i OutSteel en atacs de spear phishing contra entitats governamentals. Els pirates informàtics també s'han relacionat amb l'atac destructiu de neteja de dades conegut com a " WhisperGate " o "PAYWIPE", dirigit a entitats ucraïneses al mateix temps. Altres noms dels quals s'han rastrejat els pirates informàtics de Nodaria inclouen DEV-0586, TA471 i UNC2589.

Les capacitats de Graphiron Malware

Graphiron és l'eina amenaçadora més nova per unir-se a l'arsenal de Nodaria. És una versió millorada del programari maliciós anterior dels pirates informàtics GraphSteel. Un cop s'ha infiltrat al dispositiu objectiu, Graphiron pot executar ordres de l'intèrpret d'ordres i recopilar informació del sistema, inclosos fitxers, detalls, captures de pantalla i claus SSH. També destaca per l'ús de la versió Go 1.18 (publicada el març de 2022).

L'evidència suggereix que Graphiron es va utilitzar inicialment en atacs a partir d'octubre de 2022 i va romandre actiu almenys fins a mitjans de gener de 2023. En analitzar la cadena d'infecció, es va descobrir un procés de dues etapes en què s'utilitza un programa de baixada per recuperar una càrrega útil xifrada que contenia el programari maliciós Graphiron. des d'un servidor remot.