Malware Graphiron
È stato scoperto un sofisticato attore di minacce con legami con la Russia che implementa un nuovo software minaccioso in attacchi informatici mirati contro l'Ucraina. La minaccia dell'infostealer è tracciata come Graphiron dagli esperti di sicurezza informatica. Il gruppo di spionaggio dietro il malware è noto come Nodaria ed è monitorato dal CERT-UA (Computer Emergency Response Team of Ukraine), che lo ha etichettato come UAC-0056.
Scritto nel linguaggio di programmazione Go, il malware Graphiron è progettato per raccogliere una grande quantità di dati dalle macchine infette, che vanno dalle informazioni di sistema e credenziali agli screenshot e ai file. È interessante notare che Graphiron sembra far parte di una campagna in corso rivolta a obiettivi ucraini. I dettagli sulle operazioni minacciose e sul malware Graphiron sono stati rivelati in un rapporto degli esperti di infosec.
Campagne di attacchi multipli attribuite a Nodaria
Il gruppo di hacker Nodaria è attivo almeno dall'aprile 2021 ed è noto per aver implementato backdoor personalizzate come GraphSteel e GrimPlant in diverse campagne successive all'invasione russa dell'Ucraina. Alcune intrusioni hanno incluso l'uso del Cobalt Strike Beacon per il post-sfruttamento. CERT-UA ha rilevato per la prima volta la loro attività nel gennaio 2022, quando utilizzavano il malware SaintBot e OutSteel in attacchi di spear-phishing contro entità governative. Gli hacker sono stati anche collegati all'attacco distruttivo di cancellazione dei dati noto come " WhisperGate " o "PAYWIPE", che ha preso di mira entità ucraine nello stesso periodo. Altri nomi rintracciati dagli hacker di Nodaria includono DEV-0586, TA471 e UNC2589.
Le funzionalità del malware Graphiron
Graphiron è il nuovo strumento minaccioso che si unisce all'arsenale di Nodaria. È una versione migliorata del precedente malware GraphSteel degli hacker. Una volta che si è infiltrato nel dispositivo preso di mira, Graphiron può eseguire comandi shell e raccogliere informazioni dal sistema, inclusi file, dettagli, schermate e chiavi SSH. Si distingue anche per l'utilizzo della versione Go 1.18 (rilasciata a marzo 2022).
Le prove suggeriscono che Graphiron è stato inizialmente utilizzato negli attacchi dall'ottobre 2022 ed è rimasto attivo almeno fino a metà gennaio 2023. Dopo aver analizzato la catena di infezione, è stato scoperto un processo in due fasi in cui viene utilizzato un downloader per recuperare un payload crittografato contenente il malware Graphiron da un server remoto.
