Zlonamerna programska oprema Graphiron

Odkrili so sofisticiranega akterja groženj s povezavami z Rusijo, ki uporablja novo grozilno programsko opremo v ciljanih kibernetskih napadih na Ukrajino. Strokovnjaki za kibernetsko varnost sledijo grožnji infostealer kot Graphiron. Vohunska skupina, ki stoji za zlonamerno programsko opremo, je znana kot Nodaria in jo nadzoruje CERT-UA (Ekipa za odzivanje na računalniške nujne primere Ukrajine), ki jo je označila kot UAC-0056.

Zlonamerna programska oprema Graphiron, napisana v programskem jeziku Go, je zasnovana za zbiranje velike količine podatkov iz okuženih strojev, od sistemskih informacij in poverilnic do posnetkov zaslona in datotek. Omeniti velja, da se zdi, da je Graphiron del tekoče kampanje, usmerjene proti ukrajinskim tarčam. Podrobnosti o grozečih operacijah in zlonamerni programski opremi Graphiron so razkrili v poročilu strokovnjakov infosec.

Kampanje z več napadi, pripisane Nodaria

Hekerska skupina Nodaria je aktivna vsaj od aprila 2021 in je znana po uvajanju stranskih vrat po meri, kot sta GraphSteel in GrimPlant, v več kampanjah po ruski invaziji na Ukrajino. Nekateri vdori so vključevali uporabo svetilnika Cobalt Strike Beacon za naknadno izkoriščanje. CERT-UA je njihovo dejavnost prvič zaznal januarja 2022, ko so uporabljali zlonamerno programsko opremo SaintBot in OutSteel v napadih lažnega predstavljanja na vladne subjekte. Hekerji so bili povezani tudi z uničujočim napadom za brisanje podatkov, znanim kot " WhisperGate " ali "PAYWIPE", ki je približno v istem času ciljal na ukrajinske subjekte. Druga imena, ki so jim sledili hekerji Nodaria, vključujejo DEV-0586, TA471 in UNC2589.

Zmogljivosti zlonamerne programske opreme Graphiron

Graphiron je najnovejše grozilno orodje, ki se je pridružilo Nodarijinemu arzenalu. Gre za izboljšano različico hekerske prejšnje zlonamerne programske opreme GraphSteel. Ko se infiltrira v ciljno napravo, lahko Graphiron izvaja ukaze lupine in zbira informacije iz sistema – vključno z datotekami, podrobnostmi, posnetki zaslona in ključi SSH. Izstopa tudi po uporabi različice Go 1.18 (izdana marca 2022).

Dokazi kažejo, da je bil Graphiron prvotno uporabljen v napadih od oktobra 2022 in je ostal aktiven vsaj do sredine januarja 2023. Pri analizi verige okužbe je bil odkrit dvostopenjski postopek, v katerem je uporabljen prenosnik za pridobitev šifriranega tovora, ki vsebuje zlonamerno programsko opremo Graphiron. z oddaljenega strežnika.