Graphiron Malware

Natuklasan ang isang sopistikadong threat actor na may mga link sa Russia na nagde-deploy ng bagong nagbabantang software sa mga target na cyber attack sa Ukraine. Ang banta ng infostealer ay sinusubaybayan bilang Graphiron ng mga eksperto sa cybersecurity. Ang pangkat ng espiya sa likod ng malware ay kilala bilang Nodaria at sinusubaybayan ng CERT-UA (Computer Emergency Response Team ng Ukraine), na nag-tag dito bilang UAC-0056.

Nakasulat sa Go programming language, ang Graphiron malware ay idinisenyo upang mangalap ng malaking halaga ng data mula sa mga nahawaang machine, mula sa impormasyon ng system at mga kredensyal hanggang sa mga screenshot at file. Kapansin-pansin na ang Graphiron ay lumilitaw na bahagi ng isang patuloy na kampanya na naglalayon sa mga target na Ukrainian. Ang mga detalye tungkol sa mga nagbabantang operasyon at ang Graphiron malware ay inihayag sa isang ulat ng mga eksperto sa infosec.

Maramihang Mga Kampanya ng Pag-atake na Na-attribute sa Nodaria

Ang pangkat ng hacker na Nodaria ay naging aktibo mula pa noong Abril 2021 at kilala sa pag-deploy ng mga custom na backdoor gaya ng GraphSteel at GrimPlant sa ilang campaign kasunod ng pagsalakay ng Russia sa Ukraine. Kasama sa ilang panghihimasok ang paggamit ng Cobalt Strike Beacon para sa post-exploitation. Unang natukoy ng CERT-UA ang kanilang aktibidad noong Enero 2022, kung saan ginagamit nila ang SaintBot at ang OutSteel malware sa mga pag-atake ng spear-phishing laban sa mga entity ng gobyerno. Na-link din ang mga hacker sa mapanirang pag-atake ng wiper ng data na kilala bilang ' WhisperGate ' o ' PAYWIPE,' na nagta-target sa mga entidad ng Ukraine sa parehong oras. Ang iba pang mga pangalan na nasubaybayan ng mga Nodaria hacker ay ang DEV-0586, TA471 at UNC2589.

Ang Graphiron Malware Capabilities

Ang Graphiron ay ang pinakabagong tool sa pagbabanta upang sumali sa arsenal ng Nodaria. Ito ay isang pinahusay na bersyon ng nakaraang malware GraphSteel ng mga hacker. Kapag nakapasok na ito sa naka-target na device, maaaring isagawa ng Graphiron ang mga shell command at mangolekta ng impormasyon mula sa system - kabilang ang mga file, detalye, screenshot at SSH key. Kapansin-pansin din ito para sa paggamit nito ng bersyon ng Go 1.18 (inilabas noong Marso 2022).

Iminumungkahi ng ebidensya na ang Graphiron ay unang ginamit sa mga pag-atake mula Oktubre 2022 at nanatiling aktibo hanggang sa kalagitnaan ng Enero 2023. Sa pagsusuri sa chain ng impeksyon, natuklasan ang isang dalawang yugtong proseso kung saan ginagamit ang isang downloader upang kunin ang isang naka-encrypt na payload na naglalaman ng Graphiron malware. mula sa isang malayong server.