Graphiron kenkėjiška programa, naudojama prieš Ukrainą
Buvo pastebėta, kad su Rusija susijęs grėsmių veikėjas panaudojo naują kenkėjišką programinę įrangą kibernetinėms atakoms, nukreiptoms į Ukrainą. „Symantec“ praminta „Graphiron“, kenkėjiška programa yra šnipinėjimo grupės, žinomos kaip „Nodaria“, darbas, kurią CERT-UA stebi kaip UAC-0056. Pasak „Symantec“ grėsmių medžiotojų komandos, ši kenkėjiška programa yra parašyta „Go“ ir yra skirta rinkti įvairią informaciją iš užkrėsto kompiuterio, pvz., sistemos informaciją, kredencialus, ekrano kopijas ir failus.
CERT-UA „Nodaria“ pirmą kartą pastebėjo 2022 m. sausio mėn., nes naudojo „SaintBot“ ir „OutSteel“ kenkėjiškas programas sukčiavimo išpuoliams prieš vyriausybės subjektus. Įsilaužimų grupė taip pat buvo vadinama DEV-0586, TA471 ir UNC2589 ir buvo susijusi su destruktyviomis WhisperGate (dar žinomas kaip PAYWIPE) duomenų valytuvų atakomis prieš Ukrainos subjektus maždaug tuo pačiu metu. Ji veikia nuo 2021 m. balandžio mėn. ir įvairiose kampanijose po Rusijos karinės invazijos į Ukrainą panaudojo tokias pasirinktines užpakalines duris, kaip „GraphSteel“ ir „GrimPlant“. „Cobalt Strike Beacon“ taip pat buvo naudojamas po išnaudojimo kai kuriuose įsilaužimuose.
„Graphiron“ yra naujausias „Nodaria“ įrankių rinkinio priedas ir patobulinta „GraphSteel“ versija. Ji parašyta Go versija 1.18, kuri buvo išleista 2022 m. kovo mėn., o tai rodo, kad tai naujesnė plėtra. Pirmieji jo naudojimo įrodymai datuojami 2022 m. spalio mėn., o atakose jis buvo naudojamas mažiausiai iki 2023 m. sausio vidurio.
Užkrėtimo grandinė apima du etapus, kurių pirmasis etapas yra parsisiuntimo programa, atsakinga už užšifruoto naudingojo krovinio, kuriame yra Graphiron kenkėjiška programa, nuskaitymą iš nuotolinio serverio.
„Graphiron“ yra dar vienas grėsmės veikėjo dėmesio Ukrainai ir jos vyriausybės subjektams pavyzdys, todėl regiono organizacijoms svarbu žinoti apie šią naują kenkėjišką programinę įrangą ir imtis veiksmų, kad apsisaugotų nuo jos.
Kas yra informacijos vagystė kenkėjiška programa?
Informacijos vagystė kenkėjiška programa yra pavojinga kenkėjiškos programinės įrangos rūšis, kurią naudojant galima pavogti konfidencialią informaciją iš kompiuterių sistemų be vartotojo žinios. Jis gali būti naudojamas norint pasiekti slaptažodžius, finansinius duomenis ir kitą neskelbtiną informaciją. Informacijos vagystės kenkėjiškos programos taip pat gali būti naudojamos šnipinėti vartotojus fiksuojant ekrano kopijas arba įrašant klavišų paspaudimus. Šio tipo kenkėjiškos programos dažnai plinta per sukčiavimo el. laiškus, kenkėjiškas svetaines arba užkrėstus failus.
Organizacijoms ir asmenims svarbu imtis veiksmų, kad apsisaugotų nuo informacijos vagystės kenkėjiškų programų, naudojant stiprius slaptažodžius, nuolat atnaujinant savo sistemas naudojant naujausius saugos pataisymus ir vengiant įtartinų nuorodų ar atsisiuntimų. Be to, svarbu stebėti tinklo veiklą, ar nėra įtartinos veiklos, galinčios reikšti infekciją. Imdamiesi šių atsargumo priemonių organizacijos ir asmenys gali padėti apsisaugoti nuo tokio tipo kenkėjiškos programinės įrangos.
