Graphiron Malware
En sofistikert trusselaktør med koblinger til Russland har blitt oppdaget som distribuerer ny truende programvare i målrettede cyberangrep mot Ukraina. Infostealer-trusselen spores som Graphiron av cybersikkerhetseksperter. Spionasjegruppen bak skadevaren er kjent som Nodaria og overvåkes av CERT-UA (Computer Emergency Response Team of Ukraine), som merket den som UAC-0056.
Graphiron-malware er skrevet i programmeringsspråket Go og er designet for å samle en stor mengde data fra de infiserte maskinene, alt fra systeminformasjon og legitimasjon til skjermbilder og filer. Det er bemerkelsesverdig at Graphiron ser ut til å være en del av en pågående kampanje rettet mot ukrainske mål. Detaljer om de truende operasjonene og Graphiron malware ble avslørt i en rapport fra infosec-eksperter.
Flere angrepskampanjer tilskrevet Nodaria
Hackergruppen Nodaria har vært aktiv siden minst april 2021 og er kjent for å distribuere tilpassede bakdører som GraphSteel og GrimPlant i flere kampanjer etter Russlands invasjon av Ukraina. Noen inntrengninger har inkludert bruken av Cobalt Strike Beacon for post-utnyttelse. CERT-UA oppdaget først aktiviteten deres i januar 2022, der de brukte SaintBot og OutSteel malware i spyd-phishing-angrep mot offentlige enheter. Hackerne har også blitt koblet til det destruktive dataviskerangrepet kjent som ' WhisperGate ' eller 'PAYWIPE', rettet mot ukrainske enheter omtrent på samme tid. Andre navn som Nodaria-hackerne har blitt sporet inkluderer DEV-0586, TA471 og UNC2589.
Mulighetene for Graphiron Malware
Graphiron er det nyeste truende verktøyet for å bli med i Nodarias arsenal. Det er en forbedret versjon av hackernes tidligere malware GraphSteel. Når den har infiltrert den målrettede enheten, kan Graphiron utføre skallkommandoer og samle informasjon fra systemet – inkludert filer, detaljer, skjermbilder og SSH-nøkler. Den skiller seg også ut for bruken av Go-versjon 1.18 (utgitt i mars 2022).
Bevis tyder på at Graphiron opprinnelig ble brukt i angrep fra oktober 2022 og forble aktiv til minst midten av januar 2023. Ved å analysere infeksjonskjeden ble det oppdaget en to-trinns prosess der en nedlaster brukes til å hente en kryptert nyttelast som inneholder Graphiron malware fra en ekstern server.
