មេរោគ Graphiron
តួអង្គគម្រាមកំហែងដ៏ស្មុគ្រស្មាញដែលមានតំណភ្ជាប់ទៅកាន់ប្រទេសរុស្ស៊ី ត្រូវបានគេរកឃើញថាកំពុងដាក់ពង្រាយកម្មវិធីគំរាមកំហែងថ្មីក្នុងការវាយប្រហារតាមអ៊ីនធឺណិតដែលមានគោលដៅលើអ៊ុយក្រែន។ ការគំរាមកំហែង infostealer ត្រូវបានតាមដានជា Graphiron ដោយអ្នកជំនាញសន្តិសុខតាមអ៊ីនធឺណិត។ ក្រុមចារកម្មដែលនៅពីក្រោយមេរោគនេះត្រូវបានគេស្គាល់ថា Nodaria ហើយត្រូវបានត្រួតពិនិត្យដោយ CERT-UA (Computer Emergency Response Team of Ukraine) ដែលបានដាក់ស្លាកវាជា UAC-0056។
សរសេរជាភាសាកម្មវិធី Go មេរោគ Graphiron ត្រូវបានរចនាឡើងដើម្បីប្រមូលទិន្នន័យមួយចំនួនធំពីម៉ាស៊ីនដែលមានមេរោគ រាប់ចាប់ពីព័ត៌មានប្រព័ន្ធ និងព័ត៌មានសម្ងាត់ រហូតដល់រូបថតអេក្រង់ និងឯកសារ។ គួរកត់សម្គាល់ថា Graphiron ហាក់ដូចជាជាផ្នែកមួយនៃយុទ្ធនាការដែលកំពុងបន្តសំដៅទៅលើគោលដៅរបស់អ៊ុយក្រែន។ ព័ត៌មានលម្អិតអំពីប្រតិបត្តិការគំរាមកំហែង និងមេរោគ Graphiron ត្រូវបានបង្ហាញនៅក្នុងរបាយការណ៍ដោយអ្នកជំនាញ infosec ។
យុទ្ធនាការវាយប្រហារជាច្រើនត្រូវបានកំណត់ដោយ Nodaria
ក្រុមហេគឃ័រ Nodaria បានសកម្មតាំងពីខែមេសា ឆ្នាំ 2021 ហើយត្រូវបានគេស្គាល់ថាសម្រាប់ការដាក់ពង្រាយ backdoors ផ្ទាល់ខ្លួនដូចជា GraphSteel និង GrimPlant នៅក្នុងយុទ្ធនាការជាច្រើនបន្ទាប់ពីការលុកលុយរបស់រុស្ស៊ីលើអ៊ុយក្រែន។ ការឈ្លានពានមួយចំនួនបានរួមបញ្ចូលការប្រើប្រាស់ Cobalt Strike Beacon សម្រាប់ការកេងប្រវ័ញ្ចក្រោយការកេងប្រវ័ញ្ច។ CERT-UA បានរកឃើញសកម្មភាពរបស់ពួកគេជាលើកដំបូងនៅក្នុងខែមករា ឆ្នាំ 2022 ដែលពួកគេកំពុងប្រើប្រាស់មេរោគ SaintBot និង OutSteel ក្នុងការវាយប្រហារដោយលំពែងបន្លំប្រឆាំងនឹងអង្គភាពរដ្ឋាភិបាល។ ពួក Hacker ក៏ត្រូវបានផ្សារភ្ជាប់ទៅនឹងការវាយប្រហារបំផ្លិចបំផ្លាញទិន្នន័យដែលគេស្គាល់ថាជា ' WhisperGate ' ឬ 'PAYWIPE' ដែលផ្តោតលើអង្គភាពអ៊ុយក្រែនក្នុងពេលតែមួយ។ ឈ្មោះផ្សេងទៀតដែលពួក Hacker Nodaria ត្រូវបានតាមដានរួមមាន DEV-0586, TA471 និង UNC2589 ។
សមត្ថភាពមេរោគ Graphiron
Graphiron គឺជាឧបករណ៍គម្រាមកំហែងថ្មីបំផុតដើម្បីចូលរួមក្នុងឃ្លាំងអាវុធរបស់ Nodaria ។ វាគឺជាកំណែប្រសើរឡើងនៃមេរោគ GraphSteel មុនរបស់ពួក Hacker ។ នៅពេលដែលវាបានជ្រៀតចូលឧបករណ៍គោលដៅ Graphiron អាចប្រតិបត្តិពាក្យបញ្ជាសែល និងប្រមូលព័ត៌មានពីប្រព័ន្ធ រួមមានឯកសារ ព័ត៌មានលម្អិត រូបថតអេក្រង់ និងសោ SSH ។ វាក៏លេចធ្លោសម្រាប់ការប្រើប្រាស់ Go កំណែ 1.18 (ចេញផ្សាយក្នុងខែមីនា ឆ្នាំ 2022)។
ភ័ស្តុតាងបង្ហាញថា Graphiron ត្រូវបានប្រើប្រាស់ដំបូងក្នុងការវាយប្រហារចាប់ពីខែតុលា ឆ្នាំ 2022 ហើយនៅតែសកម្មរហូតដល់ពាក់កណ្តាលខែមករា ឆ្នាំ 2023។ នៅពេលវិភាគខ្សែសង្វាក់ឆ្លងមេរោគ ដំណើរការពីរដំណាក់កាលត្រូវបានរកឃើញដែលអ្នកទាញយកត្រូវបានជួលដើម្បីទាញយក payload ដែលបានអ៊ិនគ្រីបដែលមានមេរោគ Graphiron malware ពីម៉ាស៊ីនមេពីចម្ងាយ។
