بدافزار Graphiron
یک عامل تهدید پیچیده با ارتباط با روسیه کشف شد که از نرم افزارهای تهدیدکننده جدید در حملات سایبری هدفمند به اوکراین استفاده می کند. تهدید اطلاعات سرقت توسط کارشناسان امنیت سایبری به عنوان Graphiron ردیابی می شود. گروه جاسوسی پشت این بدافزار به نام Nodaria شناخته می شود و توسط CERT-UA (تیم واکنش اضطراری رایانه ای اوکراین) که آن را با عنوان UAC-0056 برچسب گذاری کرده است، نظارت می شود.
بدافزار Graphiron که به زبان برنامهنویسی Go نوشته شده است برای جمعآوری حجم زیادی از دادهها از ماشینهای آلوده طراحی شده است، از اطلاعات سیستم و اعتبارنامهها گرفته تا تصاویر و فایلها. قابل توجه است که به نظر می رسد Graphiron بخشی از یک کمپین در حال انجام با هدف اهداف اوکراینی است. جزئیات عملیات تهدیدآمیز و بدافزار Graphiron در گزارشی توسط کارشناسان infosec فاش شد.
کمپین های حملات متعدد منتسب به نوداریا
گروه هکر Nodaria حداقل از آوریل 2021 فعال بوده است و به دلیل استقرار درهای پشتی سفارشی مانند GraphSteel و GrimPlant در چندین کمپین پس از حمله روسیه به اوکراین شناخته شده است. برخی از نفوذها شامل استفاده از Cobalt Strike Beacon برای پس از بهره برداری است. CERT-UA برای اولین بار فعالیت خود را در ژانویه 2022 شناسایی کرد، جایی که آنها از بدافزار SaintBot و OutSteel در حملات spear-phishing علیه نهادهای دولتی استفاده می کردند. هکرها همچنین به حمله مخرب پاک کن داده معروف به " WhisperGate " یا "PAYWIPE" مرتبط بوده اند که در همان زمان نهادهای اوکراینی را هدف قرار می دهد. نام های دیگری که هکرهای نوداریا ردیابی شده اند عبارتند از DEV-0586، TA471 و UNC2589.
قابلیت های بدافزار Graphiron
Graphiron جدیدترین ابزار تهدید کننده برای پیوستن به زرادخانه نوداریا است. این نسخه بهبود یافته بدافزار قبلی GraphSteel هکرها است. هنگامی که Graphiron به دستگاه مورد نظر نفوذ کرد، میتواند دستورات پوسته را اجرا کند و اطلاعات را از سیستم - از جمله فایلها، جزئیات، اسکرینشاتها و کلیدهای SSH جمعآوری کند. همچنین به دلیل استفاده از نسخه Go 1.18 (منتشر شده در مارس 2022) متمایز است.
شواهد نشان می دهد که Graphiron ابتدا در حملات از اکتبر 2022 مورد استفاده قرار گرفت و حداقل تا اواسط ژانویه 2023 فعال بود. با تجزیه و تحلیل زنجیره آلودگی، یک فرآیند دو مرحله ای کشف شد که در آن یک دانلود کننده برای بازیابی یک محموله رمزگذاری شده حاوی بدافزار Graphiron استفاده می شود. از یک سرور راه دور