Giảm giá nhiều giấy phép
Threat Database Malware Phần mềm độc hại Graphiron

Phần mềm độc hại Graphiron

Đến năm Mezo năm Malware, Stealers
Dịch sang:
Tiếng Việt Nam

Một tác nhân đe dọa tinh vi có liên kết với Nga đã được phát hiện đang triển khai phần mềm đe dọa mới trong các cuộc tấn công mạng có chủ đích vào Ukraine. Các mối đe dọa infostealer được các chuyên gia an ninh mạng theo dõi là Graphiron. Nhóm gián điệp đằng sau phần mềm độc hại được gọi là Nodaria và được theo dõi bởi CERT-UA (Nhóm ứng phó khẩn cấp máy tính của Ukraine), người đã gắn thẻ nó là UAC-0056.

Được viết bằng ngôn ngữ lập trình Go, phần mềm độc hại Graphiron được thiết kế để thu thập một lượng lớn dữ liệu từ các máy bị nhiễm, từ thông tin hệ thống và thông tin xác thực đến ảnh chụp màn hình và tệp. Đáng chú ý là Graphiron dường như là một phần của chiến dịch đang diễn ra nhằm vào các mục tiêu Ukraine. Chi tiết về các hoạt động đe dọa và phần mềm độc hại Graphiron đã được tiết lộ trong một báo cáo của các chuyên gia infosec.

Nhiều chiến dịch tấn công được quy cho Nodaria

Nhóm tin tặc Nodaria đã hoạt động ít nhất từ tháng 4 năm 2021 và được biết đến với việc triển khai các cửa hậu tùy chỉnh như GraphSteel và GrimPlant trong một số chiến dịch sau cuộc xâm lược Ukraine của Nga. Một số xâm nhập đã bao gồm việc sử dụng Cobalt Strike Beacon để khai thác sau. CERT-UA lần đầu tiên phát hiện hoạt động của họ vào tháng 1 năm 2022, khi họ đang sử dụng phần mềm độc hại SaintBot và OutSteel trong các cuộc tấn công lừa đảo trực tuyến nhằm vào các tổ chức chính phủ. Các tin tặc cũng đã được liên kết với cuộc tấn công xóa dữ liệu phá hoại được gọi là ' WhisperGate ' hoặc 'PAYWIPE', nhắm mục tiêu vào các thực thể Ukraine cùng thời điểm. Các tên khác mà tin tặc Nodaria đã theo dõi bao gồm DEV-0586, TA471 và UNC2589.

Khả năng của phần mềm độc hại Graphiron

Graphiron là công cụ đe dọa mới nhất gia nhập kho vũ khí của Nodaria. Đây là phiên bản nâng cao của phần mềm độc hại GraphSteel trước đó của tin tặc. Khi đã xâm nhập vào thiết bị được nhắm mục tiêu, Graphiron có thể thực thi các lệnh shell và thu thập thông tin từ hệ thống - bao gồm tệp, thông tin chi tiết, ảnh chụp màn hình và khóa SSH. Nó cũng nổi bật nhờ việc sử dụng Go phiên bản 1.18 (phát hành vào tháng 3 năm 2022).

Bằng chứng cho thấy Graphiron ban đầu được sử dụng trong các cuộc tấn công từ tháng 10 năm 2022 và vẫn hoạt động cho đến ít nhất là giữa tháng 1 năm 2023. Khi phân tích chuỗi lây nhiễm, một quy trình hai giai đoạn đã được phát hiện trong đó một trình tải xuống được sử dụng để truy xuất tải trọng được mã hóa có chứa phần mềm độc hại Graphiron từ một máy chủ từ xa.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...