Graphiron Kötü Amaçlı Yazılımı

Rusya ile bağlantılı sofistike bir tehdit aktörünün, Ukrayna'ya yönelik hedefli siber saldırılarda yeni tehdit edici yazılımlar kullandığı keşfedildi. Bilgi hırsızı tehdidi, siber güvenlik uzmanları tarafından Graphiron olarak izlenir. Kötü amaçlı yazılımın arkasındaki casusluk grubu Nodaria olarak biliniyor ve onu UAC-0056 olarak etiketleyen CERT-UA (Ukrayna Bilgisayar Acil Müdahale Ekibi) tarafından izleniyor.

Go programlama dilinde yazılan Graphiron kötü amaçlı yazılımı, virüslü makinelerden sistem bilgileri ve kimlik bilgilerinden ekran görüntüleri ve dosyalara kadar değişen büyük miktarda veri toplamak için tasarlanmıştır. Graphiron'un Ukrayna hedeflerine yönelik devam eden bir kampanyanın parçası gibi görünmesi dikkat çekicidir. Tehdit edici operasyonlar ve Graphiron kötü amaçlı yazılımıyla ilgili ayrıntılar, infosec uzmanları tarafından hazırlanan bir raporda ortaya çıktı.

Nodaria'ya Atfedilen Çoklu Saldırı Kampanyaları

Nodaria hacker grubu en az Nisan 2021'den beri aktif ve Rusya'nın Ukrayna'yı işgalinin ardından çeşitli kampanyalarda GraphSteel ve GrimPlant gibi özel arka kapılar konuşlandırmasıyla tanınıyor. Bazı izinsiz girişler, sömürü sonrası için Cobalt Strike Beacon kullanımını içeriyor. CERT-UA, faaliyetlerini ilk olarak Ocak 2022'de, SaintBot ve OutSteel kötü amaçlı yazılımını devlet kurumlarına yönelik kimlik avı saldırılarında kullandıklarını tespit etti. Bilgisayar korsanlarının, aynı zamanlarda Ukraynalı varlıkları hedef alan " WhisperGate " veya "PAYWIPE" olarak bilinen yıkıcı veri silme saldırısıyla da bağlantısı var. Nodaria bilgisayar korsanlarının takip ettiği diğer isimler arasında DEV-0586, TA471 ve UNC2589 yer alıyor.

Graphiron Kötü Amaçlı Yazılım Yetenekleri

Graphiron, Nodaria'nın cephaneliğine katılan en yeni tehdit aracıdır. Bilgisayar korsanlarının önceki kötü amaçlı yazılımı GraphSteel'in geliştirilmiş bir sürümüdür. Hedeflenen cihaza sızdıktan sonra, Graphiron kabuk komutlarını çalıştırabilir ve dosyalar, ayrıntılar, ekran görüntüleri ve SSH anahtarları dahil olmak üzere sistemden bilgi toplayabilir. Ayrıca, Go sürüm 1.18'i (Mart 2022'de piyasaya sürüldü) kullanmasıyla da öne çıkıyor.

Kanıtlar, Graphiron'un ilk olarak Ekim 2022'deki saldırılarda kullanıldığını ve en az Ocak 2023'ün ortasına kadar aktif kaldığını gösteriyor. Bulaşma zinciri analiz edildikten sonra, Graphiron kötü amaçlı yazılımını içeren şifrelenmiş bir yükü almak için bir indiricinin kullanıldığı iki aşamalı bir süreç keşfedildi. uzak bir sunucudan.