Malware Graphiron utilizzato contro l'Ucraina
Un attore di minacce collegato alla Russia è stato osservato mentre distribuisce un nuovo software dannoso in attacchi informatici contro l'Ucraina. Soprannominato Graphiron da Symantec, il malware è opera di un gruppo di spionaggio noto come Nodaria, monitorato da CERT-UA come UAC-0056. Secondo il Threat Hunter Team di Symantec, questo malware è scritto in Go ed è progettato per raccogliere una vasta gamma di informazioni dal computer infetto come informazioni di sistema, credenziali, screenshot e file.
Nodaria è stata notata per la prima volta dal CERT-UA nel gennaio 2022 per aver utilizzato il malware SaintBot e OutSteel in attacchi di spear phishing contro entità governative. Il gruppo di hacking è stato anche indicato come DEV-0586, TA471 e UNC2589 ed è stato collegato a distruttivi attacchi di cancellazione dei dati WhisperGate (alias PAYWIPE) contro entità ucraine nello stesso periodo. È attivo dall'aprile 2021 e ha implementato backdoor personalizzate come GraphSteel e GrimPlant in varie campagne a seguito dell'invasione militare russa dell'Ucraina. Cobalt Strike Beacon è stato utilizzato anche per il post-sfruttamento in alcune intrusioni.
Graphiron è l'ultimo componente aggiuntivo del toolkit di Nodaria ed è una versione migliorata di GraphSteel. È scritto nella versione Go 1.18, che è stata rilasciata nel marzo 2022, suggerendo che si tratta di uno sviluppo più recente. Le prime prove del suo utilizzo risalgono all'ottobre 2022 ed è stato utilizzato negli attacchi almeno fino a metà gennaio 2023.
La catena dell'infezione prevede due fasi, la prima delle quali è un downloader responsabile del recupero di un payload crittografato che contiene il malware Graphiron da un server remoto.
Graphiron è un altro esempio dell'attenzione dell'autore della minaccia sull'Ucraina e sui suoi enti governativi, rendendo importante per le organizzazioni della regione essere a conoscenza di questo nuovo software dannoso e adottare misure per proteggersi da esso.
Cos'è il malware di infostealing?
Il malware di infostealing è un tipo pericoloso di software dannoso che può essere utilizzato per rubare informazioni riservate dai sistemi informatici all'insaputa dell'utente. Può essere utilizzato per ottenere l'accesso a password, dati finanziari e altre informazioni sensibili. Il malware di furto di informazioni può anche essere utilizzato per spiare gli utenti catturando schermate o registrando sequenze di tasti. Questo tipo di malware viene spesso diffuso tramite e-mail di phishing, siti Web dannosi o file infetti.
È importante che le organizzazioni e gli individui adottino misure per proteggersi dall'infostealing di malware utilizzando password complesse, mantenendo i propri sistemi aggiornati con le patch di sicurezza più recenti ed evitando collegamenti o download sospetti. Inoltre, è importante monitorare l'attività di rete per qualsiasi attività sospetta che potrebbe indicare un'infezione. Adottando queste precauzioni, le organizzazioni e gli individui possono proteggersi da questo tipo di software dannoso.