Graphiron-malware
Er is ontdekt dat een geavanceerde bedreigingsactor met banden met Rusland nieuwe bedreigende software inzet bij gerichte cyberaanvallen op Oekraïne. De infostealer-dreiging wordt gevolgd als Graphiron door cyberbeveiligingsexperts. De spionagegroep achter de malware staat bekend als Nodaria en wordt gemonitord door CERT-UA (Computer Emergency Response Team of Ukraine), die het tagde als UAC-0056.
De Graphiron-malware is geschreven in de Go-programmeertaal en is ontworpen om een grote hoeveelheid gegevens van de geïnfecteerde machines te verzamelen, variërend van systeeminformatie en inloggegevens tot screenshots en bestanden. Het is opmerkelijk dat Graphiron onderdeel lijkt te zijn van een lopende campagne gericht op Oekraïense doelen. Details over de bedreigende operaties en de Graphiron-malware werden onthuld in een rapport van infosec-experts.
Meerdere aanvalscampagnes toegeschreven aan Nodaria
De hackergroep Nodaria is in ieder geval sinds april 2021 actief en staat erom bekend aangepaste backdoors zoals GraphSteel en GrimPlant in te zetten in verschillende campagnes na de Russische invasie van Oekraïne. Sommige inbraken omvatten het gebruik van de Cobalt Strike Beacon voor post-exploitatie. CERT-UA ontdekte hun activiteit voor het eerst in januari 2022, toen ze de SaintBot- en de OutSteel-malware gebruikten bij spear-phishing-aanvallen tegen overheidsinstanties. De hackers zijn ook in verband gebracht met de destructieve datawisser-aanval die bekend staat als ' WhisperGate ' of 'PAYWIPE', die rond dezelfde tijd gericht was op Oekraïense entiteiten. Andere namen die de Nodaria-hackers hebben gevolgd, zijn DEV-0586, TA471 en UNC2589.
De mogelijkheden van Graphiron-malware
Graphiron is de nieuwste bedreigingstool die zich bij Nodaria's arsenaal voegt. Het is een verbeterde versie van de eerdere malware GraphSteel van de hackers. Zodra het het beoogde apparaat heeft geïnfiltreerd, kan Graphiron shell-commando's uitvoeren en informatie van het systeem verzamelen - inclusief bestanden, details, screenshots en SSH-sleutels. Het valt ook op door het gebruik van Go-versie 1.18 (uitgebracht in maart 2022).
Er zijn aanwijzingen dat Graphiron in eerste instantie werd gebruikt bij aanvallen vanaf oktober 2022 en actief bleef tot ten minste half januari 2023. Bij analyse van de infectieketen werd een proces in twee fasen ontdekt waarbij een downloader wordt gebruikt om een versleutelde payload op te halen die de Graphiron-malware bevat. vanaf een externe server.
