Грапхирон Малваре

Откривен је софистицирани актер претњи који је повезан са Русијом како примењује нови претећи софтвер у циљаним сајбер нападима на Украјину. Стручњаци за сајбер безбедност претњу крађу информација прате као Грапхирон. Група за шпијунажу која стоји иза малвера позната је као Нодариа и надгледа је ЦЕРТ-УА (Тим за реаговање на рачунарске хитне случајеве Украјине), који ју је означио као УАЦ-0056.

Написан у програмском језику Го, Грапхирон малвер је дизајниран да прикупи велику количину података са заражених машина, у распону од системских информација и акредитива до снимака екрана и датотека. Важно је напоменути да се чини да је Графирон део текуће кампање усмерене на украјинске мете. Детаљи о претећим операцијама и малверу Грапхирон откривени су у извештају стручњака Инфосец.

Вишеструке кампање напада приписане Нодарији

Хакерска група Нодариа је активна најмање од априла 2021. и позната је по примени прилагођених бацкдоор-а као што су ГрапхСтеел и ГримПлант у неколико кампања након руске инвазије на Украјину. Неки упади су укључивали употребу Цобалт Стрике Беацон за пост-експлоатацију. ЦЕРТ-УА је први пут открио њихову активност у јануару 2022. године, где су користили СаинтБот и ОутСтеел малвер у нападима спеар-пхисхинг против владиних субјеката. Хакери су такође повезани са деструктивним нападом брисања података познатим као „ ВхисперГате “ или „ПАИВИПЕ“, циљајући украјинске ентитете отприлике у исто време. Остала имена која су праћени хакерима Нодариа укључују ДЕВ-0586, ТА471 и УНЦ2589.

Могућности Грапхирон малвера

Грапхирон је најновији претећи алат за придруживање Нодаријином арсеналу. То је побољшана верзија претходног хакерског малвера ГрапхСтеел. Једном када се инфилтрира у циљани уређај, Грапхирон може да извршава команде љуске и прикупља информације из система – укључујући датотеке, детаље, снимке екрана и ССХ кључеве. Такође се истиче по коришћењу Го верзије 1.18 (објављене у марту 2022.).

Докази сугеришу да је Грапхирон првобитно коришћен у нападима од октобра 2022. и да је остао активан најмање до средине јануара 2023. Анализом ланца инфекције откривен је двостепени процес у којем се користи програм за преузимање за преузимање шифрованог терета који садржи Грапхирон малвер са удаљеног сервера.