Graphironi pahavara
Avastati Venemaaga seotud kogenud ohutegija, kes kasutab Ukrainale suunatud küberrünnakutes uut ähvardavat tarkvara. Infovarastajate ohtu jälgivad küberturvalisuse eksperdid Graphironina. Pahavara taga asuv spionaažirühm on tuntud kui Nodaria ja seda jälgib CERT-UA (Ukraina arvutihädaabirühm), kes märgis selle kui UAC-0056.
Graphironi pahavara, mis on kirjutatud Go programmeerimiskeeles, on loodud nakatunud masinatest suure hulga andmete kogumiseks, alates süsteemiteabest ja mandaatidest kuni ekraanipiltide ja failideni. On tähelepanuväärne, et Graphiron näib olevat osa käimasolevast kampaaniast, mis on suunatud Ukraina sihtmärkidele. Üksikasjad ähvardavate operatsioonide ja Graphironi pahavara kohta selgusid infoseci ekspertide raportist.
Nodariale omistatud mitu rünnakukampaaniat
Häkkerirühmitus Nodaria on tegutsenud vähemalt 2021. aasta aprillist ning on tuntud kohandatud tagauste, nagu GraphSteel ja GrimPlant, juurutamise poolest mitmes kampaanias pärast Venemaa sissetungi Ukrainasse. Mõned sissetungid on hõlmanud Cobalt Strike Beaconi kasutamist järelkasutamiseks. CERT-UA tuvastas nende tegevuse esmakordselt 2022. aasta jaanuaris, kus nad kasutasid SaintBoti ja OutSteeli pahavara rünnakutes valitsusasutuste vastu. Häkkereid on seostatud ka hävitava andmepuhasti rünnakuga, mida tuntakse nime all WhisperGate või PAYWIPE, mis on sihitud Ukraina üksused umbes samal ajal. Muud nimed, mida Nodaria häkkerid on jälginud, on DEV-0586, TA471 ja UNC2589.
Graphironi pahavara võimalused
Graphiron on uusim ähvardav tööriist Nodaria arsenaliga liitumiseks. See on häkkerite varasema pahavara GraphSteel täiustatud versioon. Kui Graphiron on sihitud seadmesse imbunud, saab ta täita shellikäske ja koguda süsteemist teavet – sealhulgas faile, üksikasju, ekraanipilte ja SSH-võtmeid. Samuti paistab see silma Go versiooni 1.18 kasutamise poolest (välja antud märtsis 2022).
Tõendid näitavad, et Graphironit kasutati algselt rünnakutes alates 2022. aasta oktoobrist ja see püsis aktiivne vähemalt 2023. aasta jaanuari keskpaigani. Nakkusahela analüüsimisel avastati kaheetapiline protsess, mille käigus kasutatakse allalaadijat Graphironi pahavara sisaldava krüpteeritud kasuliku koormuse hankimiseks. kaugserverist.
