Graphiron Malware

En sofistikerad hotaktör med kopplingar till Ryssland har upptäckts använda ny hotfull programvara i riktade cyberattacker mot Ukraina. Infostealer-hotet spåras som Graphiron av cybersäkerhetsexperter. Spionagegruppen bakom skadlig programvara är känd som Nodaria och övervakas av CERT-UA (Computer Emergency Response Team of Ukraine), som taggade den som UAC-0056.

Graphirons skadliga programvara är skriven i programmeringsspråket Go och är utformad för att samla in en stor mängd data från de infekterade maskinerna, allt från systeminformation och referenser till skärmdumpar och filer. Det är anmärkningsvärt att Graphiron verkar vara en del av en pågående kampanj riktad mot ukrainska mål. Detaljer om de hotfulla operationerna och Graphiron skadliga program avslöjades i en rapport från infosec-experter.

Flera attackkampanjer tillskrivna Nodaria

Hackergruppen Nodaria har varit aktiv sedan åtminstone april 2021 och är känd för att distribuera anpassade bakdörrar som GraphSteel och GrimPlant i flera kampanjer efter Rysslands invasion av Ukraina. Vissa intrång har inkluderat användningen av Cobalt Strike Beacon för efterexploatering. CERT-UA upptäckte först deras aktivitet i januari 2022, där de använde SaintBot och OutSteel skadlig kod i spjutfiskeattacker mot statliga enheter. Hackarna har också kopplats till den destruktiva datatorkarattacken känd som ' WhisperGate ' eller 'PAYWIPE', riktad mot ukrainska enheter ungefär samtidigt. Andra namn som Nodaria-hackarna har spårats inkluderar DEV-0586, TA471 och UNC2589.

Graphiron Malware-funktioner

Graphiron är det nyaste hotfulla verktyget för att ansluta sig till Nodarias arsenal. Det är en förbättrad version av hackarnas tidigare skadliga program GraphSteel. När den väl har infiltrerat den riktade enheten kan Graphiron köra skalkommandon och samla in information från systemet – inklusive filer, detaljer, skärmdumpar och SSH-nycklar. Den sticker också ut för sin användning av Go-version 1.18 (släpptes i mars 2022).

Bevis tyder på att Graphiron ursprungligen användes i attacker från oktober 2022 och förblev aktiv till åtminstone mitten av januari 2023. Vid analys av infektionskedjan upptäcktes en tvåstegsprocess där en nedladdare används för att hämta en krypterad nyttolast innehållande Graphiron skadlig programvara från en fjärrserver.