Graphiron Malware

Um sofisticado agente de ameaças com links com a Rússia foi descoberto implantando um novo software ameaçador em ataques cibernéticos direcionados à Ucrânia. A ameaça do infostealer é rastreada como Graphiron por especialistas em segurança cibernética. O grupo de espionagem por trás do malware é conhecido como Nodaria e é monitorado pelo CERT-UA (Computer Emergency Response Team of Ukraine), que o marcou como UAC-0056.

Escrito na linguagem de programação Go, o malware Graphiron foi projetado para coletar uma grande quantidade de dados das máquinas infectadas, desde informações e credenciais do sistema até capturas de tela e arquivos. Vale ressaltar que o Graphiron parece fazer parte de uma campanha em andamento voltada para alvos ucranianos. Detalhes sobre as operações ameaçadoras e o malware Graphiron foram revelados em um relatório de especialistas em segurança da informação.

Múltiplas Campanhas de Ataque Atribuídas ao Nodaria

O grupo de hackers Nodaria está ativo desde pelo menos abril de 2021 e é conhecido por implantar backdoors personalizados, como GraphSteel e GrimPlant, em várias campanhas após a invasão russa da Ucrânia. Algumas invasões incluíram o uso do Cobalt Strike Beacon para pós-exploração. O CERT-UA detectou sua atividade pela primeira vez em janeiro de 2022, quando eles estavam usando o malware SaintBot e OutSteel em ataques de spear phishing contra entidades governamentais. Os hackers também foram vinculados ao ataque destrutivo de limpeza de dados conhecido como 'WhisperGate' ou 'PAYWIPE', visando entidades ucranianas na mesma época. Outros nomes que os hackers do Nodaria foram rastreados incluem DEV-0586, TA471 e UNC2589.

Os Recursos do Graphiron Malware 

O Graphiron é a mais nova ferramenta ameaçadora para se juntar ao arsenal de Nodaria. É uma versão aprimorada do malware GraphSteel anterior dos hackers. Depois de se infiltrar no dispositivo de destino, o Graphiron pode executar comandos de shell e coletar informações do sistema - incluindo arquivos, detalhes, capturas de tela e chaves SSH. Também se destaca pelo uso da versão Go 1.18 (lançada em março de 2022).

Evidências sugerem que o Graphiron foi inicialmente usado em ataques a partir de outubro de 2022 e permaneceu ativo até pelo menos meados de janeiro de 2023. Ao analisar a cadeia de infecção, foi descoberto um processo de dois estágios no qual um downloader é empregado para recuperar uma carga criptografada contendo o malware Graphiron de um servidor remoto.