Graphiron Malware

Sofistikovaný aktér hrozieb s prepojením na Rusko bol objavený, ako nasadzuje nový hrozivý softvér pri cielených kybernetických útokoch na Ukrajinu. Odborníci na kybernetickú bezpečnosť sledujú hrozbu infostealer ako Graphiron. Špionážna skupina stojaca za malvérom je známa ako Nodaria a je monitorovaná CERT-UA (Ukrajinský tím pre počítačovú núdzovú reakciu), ktorý ju označil ako UAC-0056.

Malvér Graphiron, napísaný v programovacom jazyku Go, je navrhnutý tak, aby zhromažďoval veľké množstvo údajov z infikovaných počítačov, od systémových informácií a poverení až po snímky obrazovky a súbory. Je pozoruhodné, že Graphiron sa zdá byť súčasťou prebiehajúcej kampane zameranej na ukrajinské ciele. Podrobnosti o hrozivých operáciách a malvéri Graphiron odhalila správa expertov z Infosec.

Viacnásobné útočné kampane pripísané Nodarii

Hackerská skupina Nodaria je aktívna minimálne od apríla 2021 a je známa nasadením vlastných zadných vrátok, ako sú GraphSteel a GrimPlant, v niekoľkých kampaniach po ruskej invázii na Ukrajinu. Niektoré prieniky zahŕňali použitie Cobalt Strike Beacon na post-exploatáciu. CERT-UA prvýkrát zistil ich aktivitu v januári 2022, kde používali malvér SaintBot a OutSteel pri útokoch typu spear-phishing proti vládnym subjektom. Hackeri boli tiež spojení s deštruktívnym útokom na stieranie údajov známym ako „ WhisperGate “ alebo „PAYWIPE“, ktorý sa zameriaval približne v rovnakom čase na ukrajinské subjekty. Medzi ďalšie mená, ktoré hackeri Nodaria sledovali, patria DEV-0586, TA471 a UNC2589.

Možnosti malvéru Graphiron

Graphiron je najnovší hrozivý nástroj, ktorý sa pripojí k arzenálu Nodarie. Ide o vylepšenú verziu predchádzajúceho hackerského malvéru GraphSteel. Po infiltrácii do cieľového zariadenia môže Graphiron vykonávať príkazy shellu a zhromažďovať informácie zo systému – vrátane súborov, podrobností, snímok obrazovky a kľúčov SSH. Vyniká tiež použitím verzie Go 1.18 (vydanej v marci 2022).

Dôkazy naznačujú, že Graphiron bol pôvodne používaný pri útokoch od októbra 2022 a zostal aktívny minimálne do polovice januára 2023. Po analýze infekčného reťazca bol objavený dvojfázový proces, v ktorom sa používa downloader na získanie zašifrovaného obsahu obsahujúceho malvér Graphiron. zo vzdialeného servera.