Malware Graphiron
Një aktor i sofistikuar kërcënimi me lidhje me Rusinë është zbuluar duke vendosur softuer të ri kërcënues në sulmet kibernetike të synuara në Ukrainë. Kërcënimi i infovjedhjes gjurmohet si Graphiron nga ekspertë të sigurisë kibernetike. Grupi i spiunazhit që qëndron pas malware njihet si Nodaria dhe monitorohet nga CERT-UA (Ekipi i Reagimit të Emergjencave Kompjuterike të Ukrainës), i cili e etiketoi atë si UAC-0056.
I shkruar në gjuhën e programimit Go, malware Graphiron është krijuar për të mbledhur një sasi të madhe të dhënash nga makinat e infektuara, duke filluar nga informacioni i sistemit dhe kredencialet deri te pamjet e ekranit dhe skedarët. Vlen të përmendet se Graphiron duket të jetë pjesë e një fushate të vazhdueshme që synon objektivat ukrainas. Detaje rreth operacioneve kërcënuese dhe malware Graphiron u zbuluan në një raport nga ekspertët e infosec.
Fushata të shumta sulmesh që i atribuohen Nodaria
Grupi i hakerëve Nodaria ka qenë aktiv të paktën që nga prilli 2021 dhe është i njohur për vendosjen e dyerve të pasme të personalizuara si GraphSteel dhe GrimPlant në disa fushata pas pushtimit rus të Ukrainës. Disa ndërhyrje kanë përfshirë përdorimin e Cobalt Strike Beacon për post-shfrytëzimin. CERT-UA zbuloi për herë të parë aktivitetin e tyre në janar 2022, ku ata po përdornin softuerin keqdashës SaintBot dhe OutSteel në sulmet spear-phishing kundër enteve qeveritare. Hakerët gjithashtu kanë qenë të lidhur me sulmin shkatërrues të fshirësit të të dhënave të njohur si ' WhisperGate ' ose 'PAYWIPE', duke synuar entitetet ukrainase në të njëjtën kohë. Emra të tjerë që hakerët e Nodaria janë gjurmuar përfshijnë DEV-0586, TA471 dhe UNC2589.
Aftësitë Graphiron Malware
Graphiron është mjeti më i ri kërcënues për t'iu bashkuar arsenalit të Nodarias. Është një version i përmirësuar i malware-it të mëparshëm të hakerëve GraphSteel. Pasi të jetë infiltruar në pajisjen e synuar, Graphiron mund të ekzekutojë komanda të guaskës dhe të mbledhë informacion nga sistemi - duke përfshirë skedarët, detajet, pamjet e ekranit dhe çelësat SSH. Ai gjithashtu dallohet për përdorimin e versionit Go 1.18 (lëshuar në Mars 2022).
Provat sugjerojnë se Graphiron u përdor fillimisht në sulme nga tetori 2022 dhe mbeti aktiv të paktën deri në mes të janarit 2023. Pas analizimit të zinxhirit të infeksionit, u zbulua një proces me dy faza në të cilin përdoret një shkarkues për të tërhequr një ngarkesë të koduar që përmban malware Graphiron nga një server në distancë.