Graphiron Malware

En sofistikeret trusselsaktør med links til Rusland er blevet opdaget ved at implementere ny truende software i målrettede cyberangreb på Ukraine. Infostealer-truslen spores som Graphiron af cybersikkerhedseksperter. Spionagegruppen bag malwaren er kendt som Nodaria og overvåges af CERT-UA (Computer Emergency Response Team of Ukraine), som mærkede den som UAC-0056.

Graphiron-malwaren er skrevet i programmeringssproget Go og er designet til at indsamle en stor mængde data fra de inficerede maskiner, lige fra systemoplysninger og legitimationsoplysninger til skærmbilleder og filer. Det er bemærkelsesværdigt, at Graphiron ser ud til at være en del af en igangværende kampagne rettet mod ukrainske mål. Detaljer om de truende operationer og Graphiron-malwaren blev afsløret i en rapport fra infosec-eksperter.

Flere angrebskampagner tilskrevet Nodaria

Hackergruppen Nodaria har været aktiv siden mindst april 2021 og er kendt for at implementere tilpassede bagdøre som GraphSteel og GrimPlant i flere kampagner efter Ruslands invasion af Ukraine. Nogle indtrængen har inkluderet brugen af Cobalt Strike Beacon til post-udnyttelse. CERT-UA opdagede først deres aktivitet i januar 2022, hvor de brugte SaintBot og OutSteel-malwaren i spear-phishing-angreb mod statslige enheder. Hackerne er også blevet sat i forbindelse med det destruktive dataviskerangreb kendt som ' WhisperGate ' eller 'PAYWIPE', rettet mod ukrainske enheder omkring samme tid. Andre navne, som Nodaria-hackerne er blevet sporet, omfatter DEV-0586, TA471 og UNC2589.

Graphiron Malware-funktionerne

Graphiron er det nyeste truende værktøj til at slutte sig til Nodarias arsenal. Det er en forbedret version af hackernes tidligere malware GraphSteel. Når den først har infiltreret den målrettede enhed, kan Graphiron udføre shell-kommandoer og indsamle information fra systemet – herunder filer, detaljer, skærmbilleder og SSH-nøgler. Den skiller sig også ud for sin brug af Go-version 1.18 (udgivet i marts 2022).

Beviser tyder på, at Graphiron oprindeligt blev brugt i angreb fra oktober 2022 og forblev aktiv indtil mindst midten af januar 2023. Ved analyse af infektionskæden blev der opdaget en to-trins proces, hvor en downloader bruges til at hente en krypteret nyttelast indeholdende Graphiron malware fra en ekstern server.