Graphiron Malware

Seorang pelakon ancaman yang canggih dengan pautan ke Rusia telah ditemui menggunakan perisian ancaman baharu dalam serangan siber yang disasarkan di Ukraine. Ancaman pencuri maklumat dijejaki sebagai Graphiron oleh pakar keselamatan siber. Kumpulan pengintipan di sebalik perisian hasad dikenali sebagai Nodaria dan dipantau oleh CERT-UA (Pasukan Tindak Balas Kecemasan Komputer Ukraine), yang menandainya sebagai UAC-0056.

Ditulis dalam bahasa pengaturcaraan Go, perisian hasad Graphiron direka untuk mengumpulkan sejumlah besar data daripada mesin yang dijangkiti, daripada maklumat sistem dan bukti kelayakan kepada tangkapan skrin dan fail. Perlu diperhatikan bahawa Graphiron nampaknya menjadi sebahagian daripada kempen berterusan yang bertujuan untuk sasaran Ukraine. Butiran mengenai operasi mengancam dan perisian hasad Graphiron telah didedahkan dalam laporan oleh pakar infosec.

Kempen Serangan Berbilang Dikaitkan dengan Nodaria

Kumpulan penggodam Nodaria telah aktif sejak sekurang-kurangnya April 2021 dan terkenal kerana menggunakan pintu belakang tersuai seperti GraphSteel dan GrimPlant dalam beberapa kempen berikutan pencerobohan Rusia ke atas Ukraine. Beberapa pencerobohan telah termasuk penggunaan Cobalt Strike Beacon untuk pasca eksploitasi. CERT-UA mula-mula mengesan aktiviti mereka pada Januari 2022, di mana mereka menggunakan SaintBot dan perisian hasad OutSteel dalam serangan pancingan lembing terhadap entiti kerajaan. Penggodam juga telah dikaitkan dengan serangan pengelap data yang merosakkan yang dikenali sebagai ' WhisperGate ' atau ' PAYWIPE,' yang menyasarkan entiti Ukraine pada masa yang sama. Nama lain yang telah dijejaki penggodam Nodaria termasuk DEV-0586, TA471 dan UNC2589.

Keupayaan Malware Graphiron

Graphiron ialah alat ancaman terbaharu untuk menyertai senjata Nodaria. Ia adalah versi dipertingkatkan perisian hasad penggodam sebelumnya iaitu GraphSteel. Sebaik sahaja ia telah menyusup ke peranti yang disasarkan, Graphiron boleh melaksanakan arahan shell dan mengumpul maklumat daripada sistem - termasuk fail, butiran, tangkapan skrin dan kekunci SSH. Ia juga menonjol kerana penggunaan Go versi 1.18 (dikeluarkan pada Mac 2022).

Bukti menunjukkan Graphiron pada mulanya digunakan dalam serangan dari Oktober 2022 dan kekal aktif sehingga sekurang-kurangnya pertengahan Januari 2023. Setelah menganalisis rantaian jangkitan, proses dua peringkat ditemui di mana pemuat turun digunakan untuk mendapatkan semula muatan yang disulitkan yang mengandungi perisian hasad Graphiron daripada pelayan jauh.