Graphiron-Malware gegen die Ukraine eingesetzt
Ein mit Russland verbundener Bedrohungsakteur wurde beobachtet, wie er eine neue bösartige Software bei Cyberangriffen auf die Ukraine einsetzte. Die von Symantec als Graphiron bezeichnete Malware ist das Werk einer Spionagegruppe namens Nodaria, die von CERT-UA als UAC-0056 verfolgt wird. Laut dem Threat Hunter Team von Symantec ist diese Malware in Go geschrieben und soll eine Vielzahl von Informationen vom infizierten Computer sammeln, darunter Systeminformationen, Anmeldeinformationen, Screenshots und Dateien.
Nodaria wurde erstmals im Januar 2022 von CERT-UA für die Verwendung von SaintBot- und OutSteel-Malware bei Spear-Phishing-Angriffen gegen Regierungsstellen bemerkt. Die Hacking-Gruppe wurde auch als DEV-0586, TA471 und UNC2589 bezeichnet und wurde etwa zur gleichen Zeit mit destruktiven WhisperGate (alias PAYWIPE) Data Wiper-Angriffen auf ukrainische Unternehmen in Verbindung gebracht. Es ist seit April 2021 aktiv und hat nach der militärischen Invasion Russlands in der Ukraine in verschiedenen Kampagnen benutzerdefinierte Hintertüren wie GraphSteel und GrimPlant eingesetzt. Cobalt Strike Beacon wurde auch für die Nachnutzung bei einigen Eindringlingen verwendet.
Graphiron ist das neueste Add-on zum Toolkit von Nodaria und eine verbesserte Version von GraphSteel. Es ist in der Go-Version 1.18 geschrieben, die im März 2022 veröffentlicht wurde, was darauf hindeutet, dass es sich um eine neuere Entwicklung handelt. Die frühesten Beweise für seine Verwendung stammen aus dem Oktober 2022 und es wurde bis mindestens Mitte Januar 2023 bei Angriffen verwendet.
Die Infektionskette umfasst zwei Phasen, wobei die erste Phase ein Downloader ist, der dafür verantwortlich ist, eine verschlüsselte Nutzlast, die die Graphiron-Malware enthält, von einem Remote-Server abzurufen.
Graphiron ist ein weiteres Beispiel für den Fokus des Bedrohungsakteurs auf die Ukraine und ihre Regierungsbehörden, weshalb es für Organisationen in der Region wichtig ist, sich dieser neuen bösartigen Software bewusst zu sein und Maßnahmen zu ergreifen, um sich dagegen zu schützen.
Was ist Infostealing-Malware?
Infostealing-Malware ist eine gefährliche Art von Schadsoftware, die verwendet werden kann, um ohne Wissen des Benutzers vertrauliche Informationen von Computersystemen zu stehlen. Es kann verwendet werden, um Zugang zu Passwörtern, Finanzdaten und anderen sensiblen Informationen zu erhalten. Infosstealing-Malware kann auch verwendet werden, um Benutzer auszuspionieren, indem Screenshots oder Tastenanschläge aufgezeichnet werden. Diese Art von Malware wird häufig über Phishing-E-Mails, bösartige Websites oder infizierte Dateien verbreitet.
Es ist wichtig, dass Organisationen und Einzelpersonen Schritte unternehmen, um sich vor infostealender Malware zu schützen, indem sie starke Kennwörter verwenden, ihre Systeme mit den neuesten Sicherheitspatches auf dem neuesten Stand halten und verdächtige Links oder Downloads vermeiden. Darüber hinaus ist es wichtig, die Netzwerkaktivität auf verdächtige Aktivitäten zu überwachen, die auf eine Infektion hindeuten könnten. Durch das Ergreifen dieser Vorsichtsmaßnahmen können Organisationen und Einzelpersonen dazu beitragen, sich vor dieser Art von bösartiger Software zu schützen.
