Graphiron Malware
Kifinomult, Oroszországhoz köthető fenyegetőzőt fedeztek fel, aki új fenyegető szoftvert telepít az Ukrajna elleni célzott kibertámadások során. Az infolopó fenyegetést Graphiron néven követik nyomon a kiberbiztonsági szakértők. A kártevő mögött álló kémcsoport Nodaria néven ismert, és a CERT-UA (Computer Emergency Response Team of Ukraine) felügyeli, és UAC-0056-ként jelölte meg.
A Go programozási nyelven írt Graphiron kártevőt úgy tervezték, hogy nagy mennyiségű adatot gyűjtsön össze a fertőzött gépekről, a rendszerinformációktól és hitelesítő adatoktól kezdve a képernyőképekig és a fájlokig. Figyelemre méltó, hogy a Graphiron egy folyamatban lévő, ukrán célpontokat célzó kampány része. A fenyegető műveletekről és a Graphiron kártevőről részletek derültek ki az infosec szakértőinek jelentéséből.
Több Nodaria támadási kampány
A Nodaria hackercsoport legalább 2021 áprilisa óta aktív, és arról ismert, hogy az orosz ukrajnai inváziót követő kampányokban olyan egyedi hátsó ajtókat telepített, mint a GraphSteel és a GrimPlant. Egyes behatolások közé tartozik a Cobalt Strike Beacon utólagos kihasználása. A CERT-UA először 2022 januárjában észlelte tevékenységüket, amikor a SaintBot és az OutSteel malware-t használták kormányzati szervek elleni adathalász támadásokhoz. A hackereket a „ WhisperGate ” vagy „PAYWIPE” néven ismert pusztító adattörlő-támadással is kapcsolatba hozták, amely nagyjából ugyanabban az időben ukrán entitásokat céloz meg. A Nodaria hackerei nyomon követett egyéb nevek közé tartozik a DEV-0586, TA471 és UNC2589.
A Graphiron rosszindulatú szoftverek képességei
A Graphiron a legújabb fenyegető eszköz, amely csatlakozik a Nodaria arzenáljához. Ez a hackerek korábbi GraphSteel rosszindulatú programjának továbbfejlesztett változata. Amint behatolt a megcélzott eszközbe, a Graphiron shell-parancsokat hajthat végre, és információkat gyűjthet a rendszerből – beleértve a fájlokat, részleteket, képernyőképeket és SSH-kulcsokat. A 2022 márciusában kiadott Go 1.18-as verziójával is kitűnik.
A bizonyítékok arra utalnak, hogy a Graphiront eredetileg 2022 októberétől használták támadásokhoz, és legalább 2023 január közepéig aktív maradt. A fertőzési lánc elemzése során egy kétlépcsős folyamatot fedeztek fel, amelyben egy letöltőt alkalmaznak a Graphiron kártevőt tartalmazó titkosított rakomány lekérésére. távoli szerverről.