Graphiron 악성코드

우크라이나에 대한 표적 사이버 공격에 새로운 위협 소프트웨어를 배포하는 러시아와 연결된 정교한 위협 행위자가 발견되었습니다. infostealer 위협은 사이버 보안 전문가에 의해 Graphiron으로 추적됩니다. 맬웨어 배후의 스파이 그룹은 Nodaria로 알려져 있으며 CERT-UA(우크라이나 컴퓨터 비상 대응 팀)에서 UAC-0056으로 태그를 지정하여 모니터링합니다.

Go 프로그래밍 언어로 작성된 Graphiron 맬웨어는 시스템 정보 및 자격 증명에서 스크린샷 및 파일에 이르기까지 감염된 시스템에서 대량의 데이터를 수집하도록 설계되었습니다. Graphiron이 우크라이나 표적을 겨냥한 진행 중인 캠페인의 일부인 것으로 보인다는 점은 주목할 만합니다. 위협적인 작업과 Graphiron 맬웨어에 대한 세부 정보는 infosec 전문가의 보고서에서 공개되었습니다.

Nodaria로 인한 다중 공격 캠페인

해커 그룹 Nodaria는 적어도 2021년 4월부터 활동해 왔으며 러시아의 우크라이나 침공 이후 여러 캠페인에서 GraphSteel 및 GrimPlant와 같은 맞춤형 백도어를 배포한 것으로 알려져 있습니다. 일부 침입에는 악용 후 Cobalt Strike Beacon을 사용하는 것이 포함되었습니다. CERT-UA는 2022년 1월 정부 기관에 대한 스피어 피싱 공격에 SaintBot 및 OutSteel 맬웨어를 사용하는 활동을 처음 감지했습니다. 또한 해커들은 ' WhisperGate ' 또는 'PAYWIPE'로 알려진 파괴적인 데이터 와이퍼 공격에 연결되어 비슷한 시기에 우크라이나 기업을 표적으로 삼았습니다. Nodaria 해커가 추적한 다른 이름으로는 DEV-0586, TA471 및 UNC2589가 있습니다.

Graphiron 맬웨어 기능

Graphiron은 Nodaria의 무기고에 합류하는 최신 위협 도구입니다. 해커의 이전 악성코드인 GraphSteel의 향상된 버전입니다. 대상 장치에 침투하면 Graphiron은 셸 명령을 실행하고 시스템에서 파일, 세부 정보, 스크린샷 및 SSH 키를 포함한 정보를 수집할 수 있습니다. Go 버전 1.18(2022년 3월 출시)을 사용한 점도 눈에 띈다.

증거에 따르면 Graphiron은 2022년 10월부터 공격에 처음 사용되었으며 적어도 2023년 1월 중순까지 활성 상태를 유지했습니다. 감염 체인을 분석한 결과, Graphiron 맬웨어가 포함된 암호화된 페이로드를 검색하기 위해 다운로더를 사용하는 2단계 프로세스가 발견되었습니다. 원격 서버에서.