Шкідливе програмне забезпечення Graphiron

Було виявлено досвідченого загрозливого актора, пов’язаного з Росією, який використовує нове загрозливе програмне забезпечення для цілеспрямованих кібератак на Україну. Експерти з кібербезпеки відслідковують загрозу infostealer як Graphiron. Шпигунська група, яка стоїть за шкідливим програмним забезпеченням, відома як Nodaria і контролюється CERT-UA (Група реагування на надзвичайні ситуації в області комп’ютерних ситуацій України), яка позначила її як UAC-0056.

Написане на мові програмування Go, шкідливе програмне забезпечення Graphiron призначене для збору великої кількості даних із заражених машин, починаючи від системної інформації та облікових даних до скріншотів і файлів. Примітно, що Graphiron, схоже, є частиною поточної кампанії, спрямованої проти українських цілей. Подробиці про загрозливі операції та шкідливе програмне забезпечення Graphiron були розкриті у звіті експертів Infosec.

Багаторазові кампанії нападів, приписувані Нодарії

Хакерська група Nodaria була активна принаймні з квітня 2021 року та відома тим, що розгортала спеціальні бекдори, такі як GraphSteel і GrimPlant, у кількох кампаніях після вторгнення Росії в Україну. Деякі вторгнення включали використання Cobalt Strike Beacon для подальшої експлуатації. CERT-UA вперше виявив їхню активність у січні 2022 року, коли вони використовували зловмисне програмне забезпечення SaintBot і OutSteel для фішингових атак на державні установи. Хакерів також пов’язують з деструктивною атакою стирання даних, відомою як « WhisperGate » або «PAYWIPE», націленою на українські організації приблизно в той же час. Інші імена, за якими відстежили хакери Nodaria, включають DEV-0586, TA471 і UNC2589.

Можливості шкідливих програм Graphiron

Графірон — це найновіший загрозливий інструмент, який приєднався до арсеналу Нодарії. Це розширена версія попередньої шкідливої програми GraphSteel, розробленої хакерами. Після проникнення на цільовий пристрій Graphiron може виконувати команди оболонки та збирати інформацію із системи, включаючи файли, деталі, знімки екрана та ключі SSH. Він також виділяється використанням версії Go 1.18 (випущеної в березні 2022 року).

Докази свідчать про те, що Graphiron спочатку використовувався в атаках з жовтня 2022 року та залишався активним принаймні до середини січня 2023 року. Після аналізу ланцюга зараження було виявлено двоетапний процес, у якому завантажувач використовується для отримання зашифрованого корисного навантаження, що містить шкідливе програмне забезпечення Graphiron. з віддаленого сервера.