Κακόβουλο λογισμικό Graphiron

Ένας εξελιγμένος παράγοντας απειλών με συνδέσμους με τη Ρωσία ανακαλύφθηκε να αναπτύσσει νέο απειλητικό λογισμικό σε στοχευμένες επιθέσεις στον κυβερνοχώρο στην Ουκρανία. Η απειλή κλοπής πληροφοριών παρακολουθείται ως Graphiron από ειδικούς στον τομέα της ασφάλειας στον κυβερνοχώρο. Η ομάδα κατασκοπείας πίσω από το κακόβουλο λογισμικό είναι γνωστή ως Nodaria και παρακολουθείται από την CERT-UA (Computer Emergency Response Team of Ukraine), η οποία το επισήμανε ως UAC-0056.

Γραπτό στη γλώσσα προγραμματισμού Go, το κακόβουλο λογισμικό Graphiron έχει σχεδιαστεί για να συλλέγει μεγάλο όγκο δεδομένων από τα μολυσμένα μηχανήματα, που κυμαίνονται από πληροφορίες συστήματος και διαπιστευτήρια έως στιγμιότυπα οθόνης και αρχεία. Είναι αξιοσημείωτο ότι το Graphiron φαίνεται να αποτελεί μέρος μιας συνεχιζόμενης εκστρατείας που στοχεύει σε ουκρανικούς στόχους. Λεπτομέρειες σχετικά με τις απειλητικές λειτουργίες και το κακόβουλο λογισμικό Graphiron αποκαλύφθηκαν σε μια έκθεση από ειδικούς της infosec.

Πολλαπλές εκστρατείες επίθεσης που αποδίδονται στη Nodaria

Η ομάδα χάκερ Nodaria δραστηριοποιείται τουλάχιστον από τον Απρίλιο του 2021 και είναι γνωστή για την ανάπτυξη προσαρμοσμένων backdoors όπως οι GraphSteel και GrimPlant σε διάφορες εκστρατείες μετά τη ρωσική εισβολή στην Ουκρανία. Ορισμένες εισβολές περιλαμβάνουν τη χρήση του Cobalt Strike Beacon για μετα-εκμετάλλευση. Το CERT-UA εντόπισε για πρώτη φορά τη δραστηριότητά του τον Ιανουάριο του 2022, όπου χρησιμοποιούσαν το κακόβουλο λογισμικό SaintBot και OutSteel σε επιθέσεις spear-phishing εναντίον κυβερνητικών φορέων. Οι χάκερ έχουν επίσης συνδεθεί με την καταστροφική επίθεση υαλοκαθαριστήρα δεδομένων γνωστή ως « WhisperGate » ή «PAYWIPE», με στόχο ουκρανικές οντότητες περίπου την ίδια περίοδο. Άλλα ονόματα που έχουν εντοπιστεί οι χάκερ της Nodaria περιλαμβάνουν τα DEV-0586, TA471 και UNC2589.

Οι δυνατότητες κακόβουλου λογισμικού Graphiron

Το Graphiron είναι το νεότερο απειλητικό εργαλείο για να ενταχθεί στο οπλοστάσιο της Nodaria. Είναι μια βελτιωμένη έκδοση του προηγούμενου κακόβουλου λογισμικού GraphSteel των χάκερ. Μόλις διεισδύσει στη στοχευμένη συσκευή, το Graphiron μπορεί να εκτελέσει εντολές φλοιού και να συλλέξει πληροφορίες από το σύστημα - συμπεριλαμβανομένων αρχείων, λεπτομερειών, στιγμιότυπων οθόνης και κλειδιών SSH. Ξεχωρίζει επίσης για τη χρήση της έκδοσης 1.18 Go (κυκλοφόρησε τον Μάρτιο του 2022).

Τα στοιχεία δείχνουν ότι το Graphiron χρησιμοποιήθηκε αρχικά σε επιθέσεις από τον Οκτώβριο του 2022 και παρέμεινε ενεργό τουλάχιστον μέχρι τα μέσα Ιανουαρίου 2023. Μετά την ανάλυση της αλυσίδας μόλυνσης, ανακαλύφθηκε μια διαδικασία δύο σταδίων κατά την οποία χρησιμοποιείται πρόγραμμα λήψης για την ανάκτηση ενός κρυπτογραφημένου ωφέλιμου φορτίου που περιέχει το κακόβουλο λογισμικό Graphiron από έναν απομακρυσμένο διακομιστή.