Graphiron Malware

Sofistikovaný aktér hrozeb s napojením na Rusko byl objeven, jak nasazuje nový ohrožující software při cílených kybernetických útocích na Ukrajinu. Odborníci na kybernetickou bezpečnost sledují hrozbu infostealer jako Graphiron. Špionážní skupina za malwarem je známá jako Nodaria a je monitorována CERT-UA (Computer Emergency Response Team of Ukraine), který ji označil jako UAC-0056.

Malware Graphiron, napsaný v programovacím jazyce Go, je navržen tak, aby shromažďoval velké množství dat z infikovaných počítačů, od systémových informací a přihlašovacích údajů až po snímky obrazovky a soubory. Je pozoruhodné, že Graphiron se zdá být součástí probíhající kampaně zaměřené na ukrajinské cíle. Podrobnosti o ohrožujících operacích a malwaru Graphiron odhalila zpráva expertů z infosec.

Vícenásobné útočné kampaně přiřazené Nodarii

Hackerská skupina Nodaria je aktivní minimálně od dubna 2021 a je známá nasazením vlastních zadních vrátek, jako jsou GraphSteel a GrimPlant, v několika kampaních po ruské invazi na Ukrajinu. Některé průniky zahrnovaly použití Cobalt Strike Beacon pro post-exploatation. CERT-UA poprvé detekoval jejich aktivitu v lednu 2022, kdy používali malware SaintBot a OutSteel při spear-phishingových útocích proti vládním subjektům. Hackeři byli také spojováni s destruktivním útokem na stěrače dat známým jako „ WhisperGate “ nebo „PAYWIPE“, který se zaměřoval přibližně ve stejnou dobu na ukrajinské subjekty. Mezi další jména, která hackeři Nodaria sledovali, patří DEV-0586, TA471 a UNC2589.

Možnosti malwaru Graphiron

Graphiron je nejnovější hrozivý nástroj, který se připojí k arzenálu Nodarie. Jedná se o vylepšenou verzi předchozího hackerského malwaru GraphSteel. Jakmile Graphiron pronikne do cílového zařízení, může provádět příkazy shellu a shromažďovat informace ze systému – včetně souborů, podrobností, snímků obrazovky a klíčů SSH. Vyniká také použitím verze Go 1.18 (vydané v březnu 2022).

Důkazy naznačují, že Graphiron byl zpočátku používán při útocích od října 2022 a zůstal aktivní minimálně do poloviny ledna 2023. Při analýze infekčního řetězce byl objeven dvoufázový proces, ve kterém je použit downloader k načtení zašifrovaného obsahu obsahujícího malware Graphiron. ze vzdáleného serveru.