ウクライナに対して使用された Graphiron マルウェア

ロシアに関連する攻撃者が、ウクライナを標的としたサイバー攻撃で新しい悪意のあるソフトウェアを展開していることが確認されています。 Symantec によって Graphiron と名付けられたこのマルウェアは、CERT-UA によって UAC-0056 として追跡されている Nodaria として知られるスパイ グループの作品です。 Symantec の Threat Hunter Team によると、このマルウェアは Go で記述されており、システム情報、資格情報、スクリーンショット、ファイルなど、感染したコンピューターから幅広い情報を収集するように設計されています。

Nodaria は、2022 年 1 月に CERT-UA によって、政府機関に対するスピア フィッシング攻撃で SaintBot および OutSteel マルウェアを使用していることに初めて気づきました。このハッキング グループは、DEV-0586、TA471、および UNC2589 とも呼ばれており、ほぼ同時に、ウクライナのエンティティに対する破壊的な WhisperGate (別名 PAYWIPE) データ ワイパー攻撃に関連付けられています。それは 2021 年 4 月から活動しており、ロシアのウクライナへの軍事侵攻に続くさまざまなキャンペーンで、GraphSteel や GrimPlant などのカスタム バックドアを展開しています。 Cobalt Strike Beacon は、一部の侵入でのポストエクスプロイトにも使用されました。

Graphiron は Nodaria のツールキットの最新のアドオンで、GraphSteel の改良版です。これは、2022 年 3 月にリリースされた Go バージョン 1.18 で記述されており、より最近の開発であることが示唆されます。その使用の最初の証拠は 2022 年 10 月にさかのぼり、少なくとも 2023 年 1 月中旬まで攻撃に使用されていました。

感染チェーンには 2 つの段階があり、最初の段階は、Graphiron マルウェアを保持する暗号化されたペイロードをリモート サーバーから取得するダウンローダです。

Graphiron は、脅威アクターがウクライナとその政府機関に焦点を当てているもう 1 つの例であり、この地域の組織がこの新しい悪意のあるソフトウェアを認識し、それから身を守るための措置を講じることが重要になっています。

情報盗用マルウェアとは？

Infostealing マルウェアは危険な種類の悪意のあるソフトウェアで、ユーザーの知らないうちにコンピューター システムから機密情報を盗むために使用できます。パスワード、財務データ、およびその他の機密情報へのアクセスを取得するために使用できます。インフォスティーリング マルウェアは、スクリーンショットをキャプチャしたり、キーストロークを記録したりすることで、ユーザーをスパイするためにも使用できます。このタイプのマルウェアは、多くの場合、フィッシング メール、悪意のある Web サイト、または感染したファイルを通じて拡散されます。

組織や個人は、強力なパスワードを使用し、システムを最新のセキュリティ パッチで最新の状態に保ち、疑わしいリンクやダウンロードを回避することにより、インフォスティーリング マルウェアから身を守るための措置を講じることが重要です。さらに、感染を示す可能性のある不審なアクティビティがないか、ネットワーク アクティビティを監視することが重要です。これらの予防策を講じることで、組織や個人はこの種の悪意のあるソフトウェアから身を守ることができます。