Κακόβουλο λογισμικό Graphiron που χρησιμοποιείται κατά της Ουκρανίας

Ένας παράγοντας απειλών που συνδέεται με τη Ρωσία έχει παρατηρηθεί να αναπτύσσει ένα νέο κακόβουλο λογισμικό σε επιθέσεις στον κυβερνοχώρο με στόχο την Ουκρανία. Με το όνομα Graphiron από τη Symantec, το κακόβουλο λογισμικό είναι έργο μιας ομάδας κατασκοπείας γνωστής ως Nodaria, η οποία παρακολουθείται από το CERT-UA ως UAC-0056. Σύμφωνα με την ομάδα Threat Hunter της Symantec, αυτό το κακόβουλο λογισμικό είναι γραμμένο στο Go και έχει σχεδιαστεί για να συλλέγει ένα ευρύ φάσμα πληροφοριών από τον μολυσμένο υπολογιστή, όπως πληροφορίες συστήματος, διαπιστευτήρια, στιγμιότυπα οθόνης και αρχεία.

Το Nodaria παρατηρήθηκε για πρώτη φορά από το CERT-UA τον Ιανουάριο του 2022 για χρήση κακόβουλου λογισμικού SaintBot και OutSteel σε επιθέσεις spear-phishing εναντίον κυβερνητικών φορέων. Η ομάδα πειρατείας αναφέρεται επίσης ως DEV-0586, TA471 και UNC2589 και έχει συνδεθεί με καταστροφικές επιθέσεις υαλοκαθαριστήρων δεδομένων WhisperGate (γνωστός και ως PAYWIPE) σε ουκρανικές οντότητες την ίδια περίοδο. Είναι ενεργό από τον Απρίλιο του 2021 και έχει αναπτύξει προσαρμοσμένες πόρτες όπως το GraphSteel και το GrimPlant σε διάφορες εκστρατείες μετά τη στρατιωτική εισβολή της Ρωσίας στην Ουκρανία. Το Cobalt Strike Beacon χρησιμοποιήθηκε επίσης για μετα-εκμετάλλευση σε ορισμένες εισβολές.

Το Graphiron είναι το πιο πρόσφατο πρόσθετο στην εργαλειοθήκη της Nodaria και είναι μια βελτιωμένη έκδοση του GraphSteel. Είναι γραμμένο στην έκδοση 1.18 Go, η οποία κυκλοφόρησε τον Μάρτιο του 2022, υποδηλώνοντας ότι πρόκειται για μια πιο πρόσφατη εξέλιξη. Τα πρώτα στοιχεία της χρήσης του χρονολογούνται από τον Οκτώβριο του 2022 και έχει χρησιμοποιηθεί σε επιθέσεις τουλάχιστον μέχρι τα μέσα Ιανουαρίου 2023.

Η αλυσίδα μόλυνσης περιλαμβάνει δύο στάδια, με το πρώτο στάδιο να είναι ένας πρόγραμμα λήψης υπεύθυνος για την ανάκτηση ενός κρυπτογραφημένου ωφέλιμου φορτίου που κρατά το κακόβουλο λογισμικό Graphiron από έναν απομακρυσμένο διακομιστή.

Το Graphiron είναι ένα ακόμη παράδειγμα της εστίασης του παράγοντα απειλών στην Ουκρανία και τις κυβερνητικές της οντότητες, καθιστώντας σημαντικό για τους οργανισμούς στην περιοχή να γνωρίζουν αυτό το νέο κακόβουλο λογισμικό και να λαμβάνουν μέτρα για να προστατευθούν από αυτό.

Τι είναι το κακόβουλο λογισμικό κλοπής πληροφοριών;

Το κακόβουλο λογισμικό Infostealing είναι ένας επικίνδυνος τύπος κακόβουλου λογισμικού που μπορεί να χρησιμοποιηθεί για την κλοπή εμπιστευτικών πληροφοριών από συστήματα υπολογιστών χωρίς να το γνωρίζει ο χρήστης. Μπορεί να χρησιμοποιηθεί για να αποκτήσετε πρόσβαση σε κωδικούς πρόσβασης, οικονομικά δεδομένα και άλλες ευαίσθητες πληροφορίες. Το κακόβουλο λογισμικό κλοπής πληροφοριών μπορεί επίσης να χρησιμοποιηθεί για την κατασκοπεία των χρηστών τραβώντας στιγμιότυπα οθόνης ή καταγράφοντας πατήματα πλήκτρων. Αυτός ο τύπος κακόβουλου λογισμικού διαδίδεται συχνά μέσω email ηλεκτρονικού ψαρέματος, κακόβουλων ιστότοπων ή μολυσμένων αρχείων.

Είναι σημαντικό οι οργανισμοί και τα άτομα να λαμβάνουν μέτρα για να προστατεύονται από κακόβουλο λογισμικό κλοπής πληροφοριών χρησιμοποιώντας ισχυρούς κωδικούς πρόσβασης, διατηρώντας τα συστήματά τους ενημερωμένα με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας και αποφεύγοντας ύποπτους συνδέσμους ή λήψεις. Επιπλέον, είναι σημαντικό να παρακολουθείτε τη δραστηριότητα του δικτύου για οποιαδήποτε ύποπτη δραστηριότητα που θα μπορούσε να υποδεικνύει μόλυνση. Λαμβάνοντας αυτές τις προφυλάξεις, οι οργανισμοί και τα άτομα μπορούν να βοηθήσουν στην προστασία τους από αυτόν τον τύπο κακόβουλου λογισμικού.