Graphiron ļaunprātīga programmatūra

Tika atklāts sarežģīts draudu izpildītājs ar saikni ar Krieviju, kurš mērķtiecīgos kiberuzbrukumos Ukrainai izvieto jaunu draudošu programmatūru. Informācijas zagšanas draudus kiberdrošības eksperti izseko kā Graphiron. Spiegošanas grupa aiz ļaunprogrammatūras ir pazīstama kā Nodaria, un to uzrauga CERT-UA (Ukrainas datoru ārkārtas reaģēšanas komanda), kas to atzīmēja kā UAC-0056.

Graphiron ļaunprogrammatūra, kas rakstīta programmēšanas valodā Go, ir paredzēta liela apjoma datu apkopošanai no inficētajām iekārtām, sākot no sistēmas informācijas un akreditācijas datiem līdz ekrānuzņēmumiem un failiem. Jāatzīmē, ka Graphiron, šķiet, ir daļa no notiekošās kampaņas, kuras mērķis ir Ukrainas mērķi. Sīkāka informācija par draudošajām operācijām un Graphiron ļaunprogrammatūru tika atklāta infosec ekspertu ziņojumā.

Vairākas uzbrukuma kampaņas, kas attiecinātas uz Nodaria

Hakeru grupa Nodaria ir bijusi aktīva vismaz kopš 2021. gada aprīļa un ir pazīstama ar pielāgotu aizmugures durvju, piemēram, GraphSteel un GrimPlant, izvietošanu vairākās kampaņās pēc Krievijas iebrukuma Ukrainā. Daži ielaušanās gadījumi ir ietvēruši Cobalt Strike Beacon izmantošanu pēcekspluatācijai. CERT-UA pirmo reizi atklāja viņu darbību 2022. gada janvārī, kad viņi izmantoja SaintBot un OutSteel ļaunprogrammatūru pikšķerēšanas uzbrukumos pret valdības iestādēm. Hakeri ir saistīti arī ar destruktīvu datu tīrītāju uzbrukumu, kas pazīstams kā “ WhisperGate ” vai “PAYWIPE”, kas aptuveni tajā pašā laikā bija vērsts pret Ukrainas vienībām. Citi nosaukumi, kurus ir izsekojuši Nodaria hakeri, ir DEV-0586, TA471 un UNC2589.

Graphiron ļaunprātīgas programmatūras iespējas

Graphiron ir jaunākais draudu rīks, lai pievienotos Nodaria arsenālam. Tā ir hakeru iepriekšējās ļaunprogrammatūras GraphSteel uzlabota versija. Kad Graphiron ir iefiltrējies mērķa ierīcē, tas var izpildīt čaulas komandas un savākt informāciju no sistēmas, tostarp failus, informāciju, ekrānuzņēmumus un SSH atslēgas. Tas arī izceļas ar Go versijas 1.18 (izlaists 2022. gada martā) izmantošanu.

Pierādījumi liecina, ka Graphiron sākotnēji tika izmantots uzbrukumos no 2022. gada oktobra un palika aktīvs vismaz līdz 2023. gada janvāra vidum. Analizējot infekcijas ķēdi, tika atklāts divpakāpju process, kurā tiek izmantots lejupielādētājs, lai izgūtu šifrētu lietderīgo slodzi, kas satur Graphiron ļaunprātīgu programmatūru. no attālā servera.