Złośliwe oprogramowanie Graphiron

Wykryto wyrafinowanego cyberataka mającego powiązania z Rosją, który wdraża nowe groźne oprogramowanie w ukierunkowanych cyberatakach na Ukrainę. Zagrożenie kradzieżą informacji jest śledzone przez ekspertów ds. cyberbezpieczeństwa jako Graphiron. Grupa szpiegowska stojąca za tym złośliwym oprogramowaniem jest znana jako Nodaria i jest monitorowana przez CERT-UA (zespół reagowania na sytuacje kryzysowe na Ukrainie), który oznaczył ją jako UAC-0056.

Szkodliwe oprogramowanie Graphiron, napisane w języku programowania Go, ma na celu zbieranie dużej ilości danych z zainfekowanych maszyn, począwszy od informacji systemowych i danych uwierzytelniających, a skończywszy na zrzutach ekranu i plikach. Warto zauważyć, że Graphiron wydaje się być częścią trwającej kampanii wymierzonej w ukraińskie cele. Szczegóły dotyczące zagrażających operacji i złośliwego oprogramowania Graphiron zostały ujawnione w raporcie ekspertów z infosec.

Wiele kampanii ataków przypisywanych Nodarii

Grupa hakerska Nodaria działa co najmniej od kwietnia 2021 r. i jest znana z wdrażania niestandardowych backdoorów, takich jak GraphSteel i GrimPlant, w kilku kampaniach po rosyjskiej inwazji na Ukrainę. Niektóre włamania obejmowały użycie Cobalt Strike Beacon do działań poeksploatacyjnych. CERT-UA po raz pierwszy wykrył ich aktywność w styczniu 2022 r., kiedy wykorzystywali złośliwe oprogramowanie SaintBot i OutSteel do ataków typu spear phishing na podmioty rządowe. Hakerzy zostali również powiązani z niszczycielskim atakiem wycierania danych znanym jako „ WhisperGate ” lub „PAYWIPE”, wymierzonym w ukraińskie podmioty mniej więcej w tym samym czasie. Inne nazwiska, które wyśledzili hakerzy Nodarii, to DEV-0586, TA471 i UNC2589.

Możliwości złośliwego oprogramowania Graphiron

Graphiron to najnowsze groźne narzędzie, które dołączyło do arsenału Nodarii. Jest to ulepszona wersja poprzedniego szkodliwego oprogramowania hakerów, GraphSteel. Po infiltracji docelowego urządzenia Graphiron może wykonywać polecenia powłoki i zbierać informacje z systemu – w tym pliki, szczegóły, zrzuty ekranu i klucze SSH. Wyróżnia się również korzystaniem z Go w wersji 1.18 (wydanej w marcu 2022 r.).

Dowody sugerują, że Graphiron był początkowo używany w atakach od października 2022 r. i pozostawał aktywny co najmniej do połowy stycznia 2023 r. Po przeanalizowaniu łańcucha infekcji wykryto dwuetapowy proces, w którym downloader jest wykorzystywany do pobrania zaszyfrowanej zawartości zawierającej złośliwe oprogramowanie Graphiron ze zdalnego serwera.