Graphiron 恶意软件

一个与俄罗斯有联系的老练的威胁行为者被发现在针对乌克兰的网络攻击中部署了新的威胁软件。信息窃取者威胁被网络安全专家追踪为 Graphiron。恶意软件背后的间谍组织被称为 Nodaria，由 CERT-UA（乌克兰计算机应急响应小组）监控，并将其标记为 UAC-0056。

Graphiron 恶意软件使用 Go 编程语言编写，旨在从受感染的机器收集大量数据，从系统信息和凭据到屏幕截图和文件。值得注意的是，Graphiron 似乎是针对乌克兰目标的持续活动的一部分。信息安全专家在一份报告中披露了有关威胁操作和 Graphiron 恶意软件的详细信息。

归因于 Nodaria 的多次攻击活动

黑客组织 Nodaria 至少从 2021 年 4 月开始活跃，并以在俄罗斯入侵乌克兰后的几次活动中部署自定义后门程序（例如 GraphSteel 和 GrimPlant）而闻名。一些入侵包括使用Cobalt Strike Beacon 进行后期开发。 CERT-UA 于 2022 年 1 月首次检测到他们的活动，当时他们使用 SaintBot 和 OutSteel 恶意软件对政府实体进行鱼叉式网络钓鱼攻击。黑客还与被称为“ WhisperGate ”或“PAYWIPE”的破坏性数据擦除器攻击有关，该攻击几乎同时针对乌克兰实体。 Nodaria 黑客被追踪的其他名称包括 DEV-0586、TA471 和 UNC2589。

Graphiron 恶意软件功能

Graphiron 是加入 Nodaria 武器库的最新威胁工具。它是黑客之前的恶意软件 GraphSteel 的增强版。一旦渗透到目标设备，Graphiron 就可以执行 shell 命令并从系统收集信息——包括文件、详细信息、屏幕截图和 SSH 密钥。它还因使用 Go 版本 1.18（于 2022 年 3 月发布）而脱颖而出。

有证据表明 Graphiron 最初是从 2022 年 10 月开始用于攻击的，并且至少在 2023 年 1 月中旬之前一直处于活动状态。在分析感染链后，发现了一个两阶段过程，其中使用下载程序来检索包含 Graphiron 恶意软件的加密有效负载从远程服务器。