Graphiron 惡意軟件

一個與俄羅斯有聯繫的老練的威脅行為者被發現在針對烏克蘭的網絡攻擊中部署了新的威脅軟件。信息竊取者威脅被網絡安全專家追踪為 Graphiron。惡意軟件背後的間諜組織被稱為 Nodaria，由 CERT-UA（烏克蘭計算機應急響應小組）監控，並將其標記為 UAC-0056。

Graphiron 惡意軟件使用 Go 編程語言編寫，旨在從受感染的機器收集大量數據，從系統信息和憑據到屏幕截圖和文件。值得注意的是，Graphiron 似乎是針對烏克蘭目標的持續活動的一部分。信息安全專家在一份報告中披露了有關威脅操作和 Graphiron 惡意軟件的詳細信息。

歸因於 Nodaria 的多次攻擊活動

黑客組織 Nodaria 至少從 2021 年 4 月開始活躍，並以在俄羅斯入侵烏克蘭後的幾次活動中部署自定義後門程序（例如 GraphSteel 和 GrimPlant）而聞名。一些入侵包括使用Cobalt Strike Beacon 進行後期開發。 CERT-UA 於 2022 年 1 月首次檢測到他們的活動，當時他們使用 SaintBot 和 OutSteel 惡意軟件對政府實體進行魚叉式網絡釣魚攻擊。黑客還與被稱為“ WhisperGate ”或“PAYWIPE”的破壞性數據擦除器攻擊有關，該攻擊幾乎同時針對烏克蘭實體。 Nodaria 黑客被追踪的其他名稱包括 DEV-0586、TA471 和 UNC2589。

Graphiron 惡意軟件功能

Graphiron 是加入 Nodaria 武器庫的最新威脅工具。它是黑客之前的惡意軟件 GraphSteel 的增強版。一旦滲透到目標設備，Graphiron 就可以執行 shell 命令並從系統收集信息——包括文件、詳細信息、屏幕截圖和 SSH 密鑰。它還因使用 Go 版本 1.18（於 2022 年 3 月發布）而脫穎而出。

有證據表明 Graphiron 最初是從 2022 年 10 月開始用於攻擊的，並且至少在 2023 年 1 月中旬之前一直處於活動狀態。在分析感染鏈後，發現了一個兩階段過程，其中使用下載程序來檢索包含 Graphiron 惡意軟件的加密有效負載從遠程服務器。