Graphiron Malware

Un actor de amenințări sofisticat, cu legături cu Rusia, a fost descoperit că desfășoară un nou software de amenințare în atacuri cibernetice vizate asupra Ucrainei. Amenințarea infostealer este urmărită ca Graphiron de experții în securitate cibernetică. Grupul de spionaj din spatele malware-ului este cunoscut sub numele de Nodaria și este monitorizat de CERT-UA (Computer Emergency Response Team of Ukraine), care l-a etichetat ca UAC-0056.

Scris în limbajul de programare Go, programul malware Graphiron este conceput pentru a colecta o cantitate mare de date de la mașinile infectate, de la informații de sistem și acreditări până la capturi de ecran și fișiere. Este de remarcat faptul că Graphiron pare să facă parte dintr-o campanie în curs de desfășurare care vizează ținte ucrainene. Detalii despre operațiunile amenințătoare și malware-ul Graphiron au fost dezvăluite într-un raport al experților Infosec.

Campanii de atacuri multiple atribuite Nodaria

Grupul de hackeri Nodaria este activ cel puțin din aprilie 2021 și este cunoscut pentru implementarea ușilor din spate personalizate, cum ar fi GraphSteel și GrimPlant, în mai multe campanii după invazia Rusiei în Ucraina. Unele intruziuni au inclus utilizarea balizei Cobalt Strike pentru post-exploatare. CERT-UA și-a detectat pentru prima dată activitatea în ianuarie 2022, când foloseau malware-ul SaintBot și OutSteel în atacuri de tip spear-phishing împotriva entităților guvernamentale. Hackerii au fost, de asemenea, legați de atacul distructiv de ștergere a datelor cunoscut sub numele de „ WhisperGate ” sau „PAYWIPE”, care vizează entități ucrainene aproximativ în același timp. Alte nume pe care hackerii Nodaria au fost urmăriți includ DEV-0586, TA471 și UNC2589.

Capabilitățile Graphiron Malware

Graphiron este cel mai nou instrument de amenințare care se alătură arsenalului Nodaria. Este o versiune îmbunătățită a programului malware anterior al hackerilor GraphSteel. Odată ce s-a infiltrat în dispozitivul vizat, Graphiron poate executa comenzi shell și poate colecta informații din sistem - inclusiv fișiere, detalii, capturi de ecran și chei SSH. De asemenea, se remarcă prin utilizarea versiunii Go 1.18 (lansată în martie 2022).

Dovezile sugerează că Graphiron a fost folosit inițial în atacuri din octombrie 2022 și a rămas activ cel puțin până la jumătatea lunii ianuarie 2023. La analiza lanțului de infecție, a fost descoperit un proces în două etape în care un descărcator este folosit pentru a prelua o sarcină criptată care conținea malware Graphiron. de pe un server la distanță.