Graphiron kenkėjiška programa

Buvo aptiktas sudėtingas grėsmės veikėjas, turintis ryšių su Rusija, dislokuodamas naują grėsmingą programinę įrangą tikslinėms kibernetinėms atakoms prieš Ukrainą. Informacijos vagystės grėsmę kibernetinio saugumo ekspertai stebi kaip Graphiron. Kenkėjiškos programinės įrangos šnipinėjimo grupė žinoma kaip „Nodaria“ ir ją stebi CERT-UA (Ukrainos kompiuterinių avarijų komanda), kuri ją pažymėjo kaip UAC-0056.

„Go“ programavimo kalba parašyta „Graphiron“ kenkėjiška programa skirta surinkti daug duomenų iš užkrėstų mašinų, pradedant sistemos informacija ir kredencialais, baigiant ekrano kopijomis ir failais. Pažymėtina, kad „Graphiron“ yra nuolatinės kampanijos, nukreiptos į Ukrainos taikinius, dalis. Informacija apie grėsmingas operacijas ir Graphiron kenkėjišką programinę įrangą buvo atskleista infosec ekspertų ataskaitoje.

„Nodaria“ priskirtos kelios puolimo kampanijos

Įsilaužėlių grupė „Nodaria“ veikia mažiausiai nuo 2021 m. balandžio mėn. ir yra žinoma, kad keliose kampanijose po Rusijos invazijos į Ukrainą diegia pasirinktines užpakalines duris, tokias kaip „GraphSteel“ ir „GrimPlant“. Kai kurie įsibrovimai apėmė „ Cobalt Strike Beacon“ naudojimą po eksploatavimo. CERT-UA pirmą kartą aptiko jų veiklą 2022 m. sausio mėn., kai jie naudojo „SaintBot“ ir „OutSteel“ kenkėjiškas programas sukčiavimo atakoms prieš vyriausybės subjektus. Įsilaužėliai taip pat buvo siejami su destruktyviomis duomenų valytuvų atakomis, žinomomis kaip „ WhisperGate “ arba „PAYWIPE“, kuri maždaug tuo pačiu metu buvo nukreipta į Ukrainos subjektus. Kiti vardai, kuriuos stebėjo „Nodaria“ įsilaužėliai, yra DEV-0586, TA471 ir UNC2589.

Graphiron kenkėjiškų programų galimybės

Graphiron yra naujausias grėsmingas įrankis, skirtas prisijungti prie Nodaria arsenalo. Tai patobulinta ankstesnės įsilaužėlių kenkėjiškos programos GraphSteel versija. Įsiskverbęs į tikslinį įrenginį, „Graphiron“ gali vykdyti apvalkalo komandas ir rinkti informaciją iš sistemos, įskaitant failus, išsamią informaciją, ekrano kopijas ir SSH raktus. Jis taip pat išsiskiria tuo, kad naudoja „Go“ versiją 1.18 (išleista 2022 m. kovo mėn.).

Įrodymai rodo, kad Graphiron iš pradžių buvo naudojamas atakoms nuo 2022 m. spalio mėn. ir išliko aktyvus bent iki 2023 m. sausio vidurio. Išanalizavus užkrėtimo grandinę, buvo aptiktas dviejų etapų procesas, kurio metu atsisiuntimo programa naudojama užšifruotam naudojimui, kuriame yra Graphiron kenkėjiška programa, gauti. iš nuotolinio serverio.