Вредоносное ПО Графирон

Обнаружен изощренный злоумышленник, имеющий связи с Россией, который использует новое угрожающее программное обеспечение для целенаправленных кибератак на Украину. Эксперты по кибербезопасности отслеживают угрозу для кражи информации как Graphiron. Шпионская группа, стоящая за вредоносным ПО, известна как Nodaria и контролируется CERT-UA (Группа реагирования на компьютерные чрезвычайные ситуации Украины), которая пометила ее как UAC-0056.

Написанная на языке программирования Go, вредоносная программа Graphiron предназначена для сбора большого объема данных с зараженных машин, начиная от системной информации и учетных данных и заканчивая снимками экрана и файлами. Примечательно, что Graphiron, по-видимому, является частью продолжающейся кампании, направленной против украинских целей. Подробности об угрожающих операциях и вредоносном ПО Graphiron были раскрыты в отчете экспертов информационной безопасности.

Многочисленные атаки, приписываемые Нодарии

Хакерская группа Nodaria активна по крайней мере с апреля 2021 года и известна тем, что развернула специальные бэкдоры, такие как GraphSteel и GrimPlant, в нескольких кампаниях после вторжения России в Украину. Некоторые вторжения включали использование маяка Cobalt Strike Beacon для последующей эксплуатации. CERT-UA впервые обнаружил их активность в январе 2022 года, когда они использовали вредоносное ПО SaintBot и OutSteel для целевых фишинговых атак против государственных структур. Хакеры также были связаны с разрушительной атакой на удаление данных, известной как « WhisperGate » или «PAYWIPE», нацеленной на украинские организации примерно в то же время. Другие имена, которые были отслежены хакерами Nodaria, включают DEV-0586, TA471 и UNC2589.

Возможности вредоносного ПО Graphiron

Графирон — новейший угрожающий инструмент, пополнивший арсенал Нодарии. Это расширенная версия предыдущей вредоносной программы хакеров GraphSteel. После проникновения на целевое устройство Graphiron может выполнять команды оболочки и собирать информацию из системы, включая файлы, сведения, снимки экрана и ключи SSH. Он также отличается использованием Go версии 1.18 (выпущенной в марте 2022 года).

Имеющиеся данные свидетельствуют о том, что Graphiron первоначально использовался в атаках с октября 2022 года и оставался активным как минимум до середины января 2023 года. При анализе цепочки заражения был обнаружен двухэтапный процесс, в котором загрузчик используется для извлечения зашифрованной полезной нагрузки, содержащей вредоносное ПО Graphiron. с удаленного сервера.