Graphiron malware

Sofisticirani akter prijetnji s vezama s Rusijom otkriven je kako koristi novi prijeteći softver u ciljanim kibernetičkim napadima na Ukrajinu. Stručnjaci za kibernetičku sigurnost prate prijetnju infostealer kao Graphiron. Špijunska skupina koja stoji iza zlonamjernog softvera poznata je kao Nodaria, a nadzire je CERT-UA (Ukrajinski tim za odgovor na računalne hitne slučajeve), koji ga je označio kao UAC-0056.

Napisan u programskom jeziku Go, malware Graphiron dizajniran je za prikupljanje velike količine podataka sa zaraženih strojeva, u rasponu od informacija o sustavu i vjerodajnica do snimki zaslona i datoteka. Važno je napomenuti da se čini da je Graphiron dio tekuće kampanje usmjerene na ukrajinske ciljeve. Pojedinosti o prijetećim operacijama i zlonamjernom softveru Graphiron otkriveni su u izvješću stručnjaka za infosec.

Kampanje višestrukih napada koje se pripisuju Nodariji

Hakerska skupina Nodaria aktivna je najmanje od travnja 2021. i poznata je po postavljanju prilagođenih stražnjih vrata kao što su GraphSteel i GrimPlant u nekoliko kampanja nakon ruske invazije na Ukrajinu. Neki upadi su uključivali korištenje Cobalt Strike Beacona za naknadnu eksploataciju. CERT-UA je prvi put otkrio njihovu aktivnost u siječnju 2022., gdje su koristili zlonamjerni softver SaintBot i OutSteel u spear-phishing napadima protiv državnih tijela. Hakeri su također povezani s destruktivnim napadom brisača podataka poznatim kao " WhisperGate " ili "PAYWIPE", koji je otprilike u isto vrijeme ciljao na ukrajinske subjekte. Ostala imena koja su Nodaria hakeri pratili uključuju DEV-0586, TA471 i UNC2589.

Mogućnosti zlonamjernog softvera Graphiron

Graphiron je najnoviji prijeteći alat koji se pridružio Nodarijinom arsenalu. To je poboljšana verzija hakerskog prethodnog malwarea GraphSteel. Nakon što se infiltrirao u ciljani uređaj, Graphiron može izvršavati naredbe ljuske i prikupljati informacije iz sustava - uključujući datoteke, detalje, snimke zaslona i SSH ključeve. Ističe se i po upotrebi Go verzije 1.18 (objavljena u ožujku 2022.).

Dokazi upućuju na to da je Graphiron isprva korišten u napadima od listopada 2022. i da je ostao aktivan najmanje do sredine siječnja 2023. Nakon analize lanca infekcije otkriven je dvofazni proces u kojem se koristi downloader za dohvaćanje kriptiranog korisnog sadržaja koji sadrži zlonamjerni softver Graphiron s udaljenog poslužitelja.