Ukrajna ellen használt Graphiron kártevő

Megfigyeltek egy orosz kötődésű fenyegetést, aki új rosszindulatú szoftvert telepít az Ukrajnát célzó kibertámadások során. A Symantec által Graphiron névre keresztelt kártevő a Nodaria néven ismert kémcsoport munkája, amelyet a CERT-UA UAC-0056 néven követ. A Symantec Threat Hunter csapata szerint ez a rosszindulatú program Go nyelven íródott, és arra készült, hogy sokféle információt gyűjtsön a fertőzött számítógépről, például rendszerinformációkat, hitelesítő adatokat, képernyőképeket és fájlokat.

A Nodariát először a CERT-UA vette észre 2022 januárjában, mert a SaintBot és az OutSteel kártevőket használta kormányzati szervek elleni adathalász támadásokhoz. A hackercsoportot DEV-0586, TA471 és UNC2589 néven is emlegették, és körülbelül ugyanabban az időben hozták kapcsolatba az ukrán entitások elleni pusztító WhisperGate (más néven PAYWIPE) adattörlő támadásokkal. 2021 áprilisa óta működik, és olyan egyedi hátsó ajtókat telepített, mint a GraphSteel és a GrimPlant a különféle kampányokban az orosz ukrajnai katonai inváziót követően. A Cobalt Strike Beacon-t utólagos kihasználásra is használták egyes behatolásoknál.

A Graphiron a Nodaria eszközkészletének legújabb kiegészítője, és a GraphSteel továbbfejlesztett változata. A Go 1.18-as verziójában írták, amely 2022 márciusában jelent meg, ami arra utal, hogy ez egy újabb fejlesztés. Használatának legkorábbi bizonyítékai 2022 októberéből származnak, és támadásokban legalább 2023 január közepéig használták.

A fertőzési lánc két szakaszból áll, az első szakasz egy letöltő, amely a Graphiron kártevőt tároló titkosított rakomány letöltéséért felelős egy távoli szerverről.

A Graphiron egy újabb példája annak, hogy a fenyegetés szereplői Ukrajnára és annak kormányzati egységeire összpontosítanak, ezért fontos, hogy a régió szervezetei tisztában legyenek ezzel az új rosszindulatú szoftverrel, és tegyenek lépéseket az ellene való védekezés érdekében.

Mi az az infolopás rosszindulatú program?

Az információlopás rosszindulatú szoftverek egy veszélyes típusú rosszindulatú szoftverek, amelyek segítségével a felhasználó tudta nélkül bizalmas információkat lophatnak el számítógépes rendszerekről. Használható jelszavakhoz, pénzügyi adatokhoz és egyéb érzékeny információkhoz való hozzáférésre. Az információlopó rosszindulatú programok a felhasználók utáni kémkedésre is használhatók képernyőképek rögzítésével vagy billentyűleütések rögzítésével. Az ilyen típusú rosszindulatú programok gyakran adathalász e-maileken, rosszindulatú webhelyeken vagy fertőzött fájlokon keresztül terjednek.

Fontos, hogy a szervezetek és a magánszemélyek lépéseket tegyenek az információlopó rosszindulatú programok elleni védekezés érdekében erős jelszavak használatával, rendszerük naprakészen tartásával a legújabb biztonsági javításokkal, valamint a gyanús hivatkozások és letöltések elkerülésével. Ezenkívül fontos figyelni a hálózati tevékenységet minden gyanús tevékenységre, amely fertőzésre utalhat. Ezen óvintézkedések megtételével a szervezetek és magánszemélyek megvédhetik magukat az ilyen típusú rosszindulatú szoftverektől.