Graphiron Malware brugt mod Ukraine
En russisk-tilknyttet trusselsaktør er blevet observeret i gang med at implementere en ny ondsindet software i cyberangreb rettet mod Ukraine. Døbt Graphiron af Symantec, malwaren er værket af en spionagegruppe kendt som Nodaria, som spores af CERT-UA som UAC-0056. Ifølge Symantecs Threat Hunter Team er denne malware skrevet i Go og er designet til at indsamle en lang række informationer fra den inficerede computer, såsom systemoplysninger, legitimationsoplysninger, skærmbilleder og filer.
Nodaria blev første gang bemærket af CERT-UA i januar 2022 for at bruge SaintBot og OutSteel malware i spear-phishing-angreb mod statslige enheder. Hackinggruppen er også blevet omtalt som DEV-0586, TA471 og UNC2589 og er blevet forbundet med destruktive WhisperGate (alias PAYWIPE) dataviskerangreb på ukrainske enheder omkring samme tid. Den har været aktiv siden april 2021 og har indsat brugerdefinerede bagdøre som GraphSteel og GrimPlant i forskellige kampagner efter Ruslands militære invasion af Ukraine. Cobalt Strike Beacon blev også brugt til efterudnyttelse i nogle indtrængen.
Graphiron er den seneste tilføjelse til Nodarias værktøjssæt og er en forbedret version af GraphSteel. Det er skrevet i Go version 1.18, som blev udgivet i marts 2022, hvilket tyder på, at det er en nyere udvikling. De tidligste beviser for dets brug går tilbage til oktober 2022, og det har været brugt i angreb indtil mindst midten af januar 2023.
Infektionskæden involverer to trin, hvor det første trin er en downloader, der er ansvarlig for at hente en krypteret nyttelast, der indeholder Graphiron-malwaren fra en ekstern server.
Graphiron er endnu et eksempel på trusselsaktørens fokus på Ukraine og dets regeringsenheder, hvilket gør det vigtigt for organisationer i regionen at være opmærksomme på denne nye ondsindede software og tage skridt til at beskytte sig selv mod det.
Hvad er infostealing malware?
Infostealing malware er en farlig type ondsindet software, der kan bruges til at stjæle fortrolige oplysninger fra computersystemer uden brugerens viden. Det kan bruges til at få adgang til adgangskoder, økonomiske data og andre følsomme oplysninger. Infostealing malware kan også bruges til at spionere på brugere ved at tage skærmbilleder eller optage tastetryk. Denne type malware spredes ofte gennem phishing-e-mails, ondsindede websteder eller inficerede filer.
Det er vigtigt for organisationer og enkeltpersoner at tage skridt til at beskytte sig selv mod infostjæling af malware ved at bruge stærke adgangskoder, holde deres systemer opdateret med de nyeste sikkerhedsrettelser og undgå mistænkelige links eller downloads. Derudover er det vigtigt at overvåge netværksaktivitet for enhver mistænkelig aktivitet, der kan indikere en infektion. Ved at tage disse forholdsregler kan organisationer og enkeltpersoner hjælpe med at beskytte sig selv mod denne type ondsindet software.
