Graphiron haittaohjelma

Hienostunut uhkatoimija, jolla on yhteyksiä Venäjään, on löydetty, joka käyttää uusia uhkaavia ohjelmistoja kohdistetuissa kyberhyökkäyksissä Ukrainaan. Kyberturvallisuusasiantuntijat seuraavat tietovarastajien uhkaa Graphironina. Haittaohjelman takana oleva vakoiluryhmä tunnetaan nimellä Nodaria, ja sitä valvoo CERT-UA (Computer Emergency Response Team of Ukraine), joka merkitsi sen nimellä UAC-0056.

Go-ohjelmointikielellä kirjoitettu Graphiron-haittaohjelma on suunniteltu keräämään suuria määriä tietoa tartunnan saaneilta koneilta järjestelmätiedoista ja tunnistetiedoista kuvakaappauksiin ja tiedostoihin. On huomionarvoista, että Graphiron näyttää olevan osa käynnissä olevaa kampanjaa, joka on suunnattu ukrainalaisiin kohteisiin. Yksityiskohdat uhkaavasta toiminnasta ja Graphiron-haittaohjelmasta paljastettiin infosec-asiantuntijoiden raportissa.

Useita Nodarian hyökkäyskampanjoita

Hakkeriryhmä Nodaria on ollut aktiivinen ainakin huhtikuusta 2021 lähtien, ja se tunnetaan mukautettujen takaovien, kuten GraphSteelin ja GrimPlantin, käyttöönotosta useissa kampanjoissa Venäjän hyökkäyksen jälkeen Ukrainaan. Joihinkin tunkeutumisiin on kuulunut Cobalt Strike Beaconin käyttö jälkikäyttöön. CERT-UA havaitsi heidän toimintansa ensimmäisen kerran tammikuussa 2022, jolloin he käyttivät SaintBot- ja OutSteel-haittaohjelmia keihäsphishing-hyökkäyksissä valtion tahoja vastaan. Hakkerit on myös yhdistetty tuhoisaan WhisperGate- tai PAYWIPE-hyökkäämiseen, joka kohdistuu Ukrainan entiteettiin suunnilleen samaan aikaan. Muita nimiä, joita Nodaria-hakkerit ovat jäljittäneet, ovat DEV-0586, TA471 ja UNC2589.

Graphironin haittaohjelmaominaisuudet

Graphiron on uusin uhkaava työkalu, joka liittyy Nodarian arsenaaliin. Se on paranneltu versio hakkereiden aiemmasta GraphSteel-haittaohjelmasta. Kun Graphiron on tunkeutunut kohdelaitteeseen, se voi suorittaa komentotulkkikomentoja ja kerätä tietoja järjestelmästä - mukaan lukien tiedostot, yksityiskohdat, kuvakaappaukset ja SSH-avaimet. Se erottuu myös Go-version 1.18 (julkaistu maaliskuussa 2022) käytöstä.

Todisteet viittaavat siihen, että Graphironia käytettiin hyökkäyksissä alun perin lokakuusta 2022 lähtien ja se pysyi aktiivisena ainakin tammikuun 2023 puoliväliin asti. Tartuntaketjua analysoitaessa löydettiin kaksivaiheinen prosessi, jossa latausohjelmaa käytetään Graphiron-haittaohjelman sisältävän salatun hyötykuorman hakemiseen. etäpalvelimelta.