గ్రాఫిరాన్ మాల్వేర్
ఉక్రెయిన్పై లక్షిత సైబర్ దాడుల్లో కొత్త బెదిరింపు సాఫ్ట్వేర్ను మోహరిస్తున్న ఒక అధునాతన బెదిరింపు నటుడు రష్యాతో లింక్లను కలిగి ఉన్నారని కనుగొనబడింది. ఇన్ఫోస్టీలర్ ముప్పును సైబర్ సెక్యూరిటీ నిపుణులు గ్రాఫిరాన్గా ట్రాక్ చేస్తారు. మాల్వేర్ వెనుక ఉన్న గూఢచర్య సమూహాన్ని నోడారియా అని పిలుస్తారు మరియు దీనిని UAC-0056గా ట్యాగ్ చేసిన CERT-UA (కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీమ్ ఆఫ్ ఉక్రెయిన్) పర్యవేక్షిస్తుంది.
గో ప్రోగ్రామింగ్ లాంగ్వేజ్లో వ్రాయబడిన గ్రాఫిరాన్ మాల్వేర్ సిస్టమ్ సమాచారం మరియు ఆధారాల నుండి స్క్రీన్షాట్లు మరియు ఫైల్ల వరకు సోకిన యంత్రాల నుండి పెద్ద మొత్తంలో డేటాను సేకరించడానికి రూపొందించబడింది. ఉక్రేనియన్ లక్ష్యాలను లక్ష్యంగా చేసుకుని జరుగుతున్న ప్రచారంలో గ్రాఫిరాన్ భాగం కావడం గమనార్హం. ఇన్ఫోసెక్ నిపుణుల నివేదికలో బెదిరింపు కార్యకలాపాలు మరియు గ్రాఫిరాన్ మాల్వేర్ గురించిన వివరాలు వెల్లడయ్యాయి.
నోడారియాకు ఆపాదించబడిన బహుళ దాడి ప్రచారాలు
హ్యాకర్ గ్రూప్ నోడారియా కనీసం ఏప్రిల్ 2021 నుండి యాక్టివ్గా ఉంది మరియు ఉక్రెయిన్పై రష్యా దాడి చేసిన తరువాత అనేక ప్రచారాలలో గ్రాఫ్స్టీల్ మరియు గ్రిమ్ప్లాంట్ వంటి అనుకూల బ్యాక్డోర్లను మోహరించడంలో ప్రసిద్ధి చెందింది. కొన్ని చొరబాట్లు పోస్ట్-ఎక్స్ప్లోయిటేషన్ కోసం కోబాల్ట్ స్ట్రైక్ బెకన్ను ఉపయోగించడాన్ని కలిగి ఉన్నాయి. CERT-UA మొట్టమొదట జనవరి 2022లో వారి కార్యాచరణను గుర్తించింది, అక్కడ వారు ప్రభుత్వ సంస్థలపై స్పియర్-ఫిషింగ్ దాడులలో SaintBot మరియు OutSteel మాల్వేర్లను ఉపయోగిస్తున్నారు. అదే సమయంలో ఉక్రేనియన్ సంస్థలను లక్ష్యంగా చేసుకుని ' విస్పర్గేట్ ' లేదా 'PAYWIPE' అని పిలిచే విధ్వంసక డేటా వైపర్ దాడికి హ్యాకర్లు కూడా లింక్ చేయబడ్డారు. నోడారియా హ్యాకర్లు ట్రాక్ చేయబడిన ఇతర పేర్లలో DEV-0586, TA471 మరియు UNC2589 ఉన్నాయి.
గ్రాఫిరాన్ మాల్వేర్ సామర్థ్యాలు
నోడారియా ఆయుధశాలలో చేరడానికి గ్రాఫిరాన్ సరికొత్త బెదిరింపు సాధనం. ఇది హ్యాకర్ల మునుపటి మాల్వేర్ GraphSteel యొక్క మెరుగైన వెర్షన్. లక్ష్య పరికరంలోకి చొరబడిన తర్వాత, గ్రాఫిరాన్ షెల్ ఆదేశాలను అమలు చేయగలదు మరియు ఫైల్లు, వివరాలు, స్క్రీన్షాట్లు మరియు SSH కీలతో సహా సిస్టమ్ నుండి సమాచారాన్ని సేకరిస్తుంది. ఇది గో వెర్షన్ 1.18 (మార్చి 2022లో విడుదల చేయబడింది) ఉపయోగం కోసం కూడా ప్రత్యేకంగా నిలుస్తుంది.
గ్రాఫిరాన్ మొదట అక్టోబర్ 2022 నుండి దాడులలో ఉపయోగించబడిందని మరియు కనీసం జనవరి 2023 మధ్యకాలం వరకు క్రియాశీలంగా ఉందని ఆధారాలు సూచిస్తున్నాయి. ఇన్ఫెక్షన్ చైన్ను విశ్లేషించిన తర్వాత, గ్రాఫిరాన్ మాల్వేర్ను కలిగి ఉన్న ఎన్క్రిప్టెడ్ పేలోడ్ను తిరిగి పొందడానికి డౌన్లోడ్ చేసే రెండు-దశల ప్రక్రియ కనుగొనబడింది. రిమోట్ సర్వర్ నుండి.