גרפירון תוכנה זדונית

שחקן איום מתוחכם עם קישורים לרוסיה התגלה כשהוא פורס תוכנה מאיימת חדשה בהתקפות סייבר ממוקדות על אוקראינה. מומחי אבטחת סייבר עוקבים אחר איום גניבת המידע כ-Graphiron. קבוצת הריגול שמאחורי התוכנה הזדונית ידועה בשם Nodaria ומפוקחת על ידי CERT-UA (Computer Emergency Response Team of Ukraine), אשר תייג אותה כ-UAC-0056.

כתובה בשפת התכנות Go, תוכנת הזדונית Graphiron נועדה לאסוף כמות גדולה של נתונים מהמכונות הנגועות, החל ממידע מערכת ואישורים ועד צילומי מסך וקבצים. ראוי לציין כי נראה שגרפירון הוא חלק מקמפיין מתמשך המכוון למטרות אוקראיניות. פרטים על הפעולות המאיימות והתוכנה הזדונית של Graphiron נחשפו בדו"ח של מומחי infosec.

מסעות תקיפה מרובים מיוחסים לנודריה

קבוצת ההאקרים Nodaria פעילה לפחות מאז אפריל 2021 וידועה בפריסת דלתות אחוריות מותאמות אישית כמו GraphSteel ו-GrimPlant במספר קמפיינים בעקבות פלישת רוסיה לאוקראינה. חלק מהפריצות כללו את השימוש ב- Cobalt Strike Beacon לאחר ניצול. CERT-UA זיהה את פעילותם לראשונה בינואר 2022, שם הם השתמשו בתוכנת SaintBot ובתוכנה זדונית של OutSteel בהתקפות דיוג חנית נגד גופים ממשלתיים. ההאקרים נקשרו גם למתקפת מגב הנתונים ההרסנית המכונה ' WhsperGate ' או 'PAYWIPE', המכוונת לישויות אוקראיניות בערך באותו זמן. שמות נוספים שאחריהם עקבו אחר ההאקרים של Nodaria כוללים DEV-0586, TA471 ו-UNC2589.

יכולות ה-Graphiron Malware

גרפירון הוא הכלי המאיים החדש ביותר להצטרף לארסנל של נודריה. זוהי גרסה משופרת של התוכנה הזדונית הקודמת של ההאקרים GraphSteel. לאחר שהוא חדר למכשיר הממוקד, Graphiron יכול לבצע פקודות מעטפת ולאסוף מידע מהמערכת - כולל קבצים, פרטים, צילומי מסך ומקשי SSH. זה בולט גם בשימוש שלו בגרסת Go 1.18 (שוחררה במרץ 2022).

הראיות מצביעות על כך שגרפירון שימש בתחילה בהתקפות מאוקטובר 2022 ונשאר פעיל לפחות עד אמצע ינואר 2023. לאחר ניתוח שרשרת ההדבקה, התגלה תהליך דו-שלבי שבו מופעל הורדה כדי לאחזר מטען מוצפן המכיל את התוכנה הזדונית Graphiron משרת מרוחק.