Logiciel malveillant Graphiron utilisé contre l'Ukraine

Un acteur menaçant lié à la Russie a été observé en train de déployer un nouveau logiciel malveillant dans des cyberattaques ciblant l'Ukraine. Surnommé Graphiron par Symantec, le malware est l'œuvre d'un groupe d'espionnage connu sous le nom de Nodaria qui est suivi par CERT-UA sous le nom UAC-0056. Selon l'équipe Threat Hunter de Symantec, ce logiciel malveillant est écrit en Go et est conçu pour collecter un large éventail d'informations sur l'ordinateur infecté, telles que des informations système, des informations d'identification, des captures d'écran et des fichiers.

Nodaria a été remarquée pour la première fois par le CERT-UA en janvier 2022 pour avoir utilisé les logiciels malveillants SaintBot et OutSteel dans des attaques de harponnage contre des entités gouvernementales. Le groupe de piratage a également été appelé DEV-0586, TA471 et UNC2589 et a été lié à des attaques destructrices d'effacement de données WhisperGate (alias PAYWIPE) contre des entités ukrainiennes à peu près au même moment. Il est actif depuis avril 2021 et a déployé des portes dérobées personnalisées telles que GraphSteel et GrimPlant dans diverses campagnes suite à l'invasion militaire de l'Ukraine par la Russie. Cobalt Strike Beacon a également été utilisé pour la post-exploitation de certaines intrusions.

Graphiron est le dernier addon de la boîte à outils de Nodaria et est une version améliorée de GraphSteel. Il est écrit dans la version Go 1.18, qui a été publiée en mars 2022, ce qui suggère qu'il s'agit d'un développement plus récent. Les premières preuves de son utilisation remontent à octobre 2022 et il a été utilisé dans des attaques jusqu'à au moins la mi-janvier 2023.

La chaîne d'infection comporte deux étapes, la première étape étant un téléchargeur chargé de récupérer une charge utile cryptée contenant le logiciel malveillant Graphiron à partir d'un serveur distant.

Graphiron est un autre exemple de l'accent mis par l'acteur de la menace sur l'Ukraine et ses entités gouvernementales, ce qui rend important pour les organisations de la région d'être conscientes de ce nouveau logiciel malveillant et de prendre des mesures pour s'en protéger.

Qu'est-ce qu'un logiciel malveillant voleur d'informations ?

Le malware Infostealing est un type dangereux de logiciel malveillant qui peut être utilisé pour voler des informations confidentielles à partir de systèmes informatiques à l'insu de l'utilisateur. Il peut être utilisé pour accéder aux mots de passe, aux données financières et à d'autres informations sensibles. Les logiciels malveillants Infostealing peuvent également être utilisés pour espionner les utilisateurs en capturant des captures d'écran ou en enregistrant des frappes au clavier. Ce type de logiciel malveillant se propage souvent par le biais d'e-mails de phishing, de sites Web malveillants ou de fichiers infectés.

Il est important que les organisations et les individus prennent des mesures pour se protéger contre les logiciels malveillants voleurs d'informations en utilisant des mots de passe forts, en gardant leurs systèmes à jour avec les derniers correctifs de sécurité et en évitant les liens ou les téléchargements suspects. De plus, il est important de surveiller l'activité du réseau pour toute activité suspecte qui pourrait indiquer une infection. En prenant ces précautions, les organisations et les particuliers peuvent contribuer à se protéger contre ce type de logiciel malveillant.