ग्राफिरॉन मैलवेयर
रूस से जुड़े एक परिष्कृत खतरे वाले अभिनेता को यूक्रेन पर लक्षित साइबर हमलों में नए धमकी देने वाले सॉफ़्टवेयर की तैनाती करते हुए पाया गया है। इन्फोस्टीलर खतरे को साइबर सुरक्षा विशेषज्ञों द्वारा ग्राफिरॉन के रूप में ट्रैक किया जाता है। मैलवेयर के पीछे जासूसी समूह को नोदरिया के रूप में जाना जाता है और इसकी निगरानी CERT-UA (यूक्रेन की कंप्यूटर इमरजेंसी रिस्पांस टीम) द्वारा की जाती है, जिसने इसे UAC-0056 के रूप में टैग किया।
गो प्रोग्रामिंग लैंग्वेज में लिखे गए, ग्राफिरॉन मालवेयर को संक्रमित मशीनों से बड़ी मात्रा में डेटा इकट्ठा करने के लिए डिज़ाइन किया गया है, जिसमें सिस्टम की जानकारी और क्रेडेंशियल्स से लेकर स्क्रीनशॉट और फाइलें शामिल हैं। यह उल्लेखनीय है कि ग्रेफिरॉन यूक्रेनी लक्ष्यों के उद्देश्य से चल रहे अभियान का हिस्सा प्रतीत होता है। Infosec विशेषज्ञों की एक रिपोर्ट में धमकी देने वाले ऑपरेशन और ग्राफ़िरॉन मालवेयर के बारे में जानकारी सामने आई थी।
एकाधिक हमले अभियान नोडरिया को जिम्मेदार ठहराते हैं
हैकर समूह नोदरिया कम से कम अप्रैल 2021 से सक्रिय है और रूस के यूक्रेन पर आक्रमण के बाद कई अभियानों में कस्टम बैकडोर जैसे कि ग्राफस्टील और ग्रिमप्लांट को तैनात करने के लिए जाना जाता है। कुछ घुसपैठों में शोषण के बाद कोबाल्ट स्ट्राइक बीकन का उपयोग शामिल है। सीईआरटी-यूए ने पहली बार जनवरी 2022 में उनकी गतिविधि का पता लगाया, जहां वे सरकारी संस्थाओं के खिलाफ स्पीयर-फ़िशिंग हमलों में सेंटबॉट और आउटस्टील मैलवेयर का उपयोग कर रहे थे। हैकर्स को विनाशकारी डेटा वाइपर हमले से भी जोड़ा गया है, जिसे 'व्हिस्परगेट' या ' पेवाइप ' के रूप में जाना जाता है, जो उसी समय के आसपास यूक्रेनी संस्थाओं को लक्षित करता है। नोडारिया हैकर्स को ट्रैक किए गए अन्य नामों में DEV-0586, TA471 और UNC2589 शामिल हैं।
ग्राफिरॉन मालवेयर क्षमताएं
नोदरिया के शस्त्रागार में शामिल होने के लिए ग्राफिरॉन नवीनतम धमकी देने वाला उपकरण है। यह हैकर्स के पिछले मालवेयर ग्राफस्टील का उन्नत संस्करण है। एक बार जब यह लक्षित डिवाइस में घुसपैठ कर लेता है, तो ग्राफिरॉन शेल कमांड निष्पादित कर सकता है और सिस्टम से जानकारी एकत्र कर सकता है - जिसमें फाइलें, विवरण, स्क्रीनशॉट और एसएसएच कुंजी शामिल हैं। यह गो संस्करण 1.18 (मार्च 2022 में जारी) के उपयोग के लिए भी खड़ा है।
साक्ष्य बताते हैं कि ग्राफिरॉन का इस्तेमाल शुरू में अक्टूबर 2022 से हमलों में किया गया था और कम से कम जनवरी 2023 के मध्य तक सक्रिय रहा। एक दूरस्थ सर्वर से।