Graphiron skadelig programvare brukt mot Ukraina
En russisk-tilknyttet trusselaktør har blitt observert distribuere en ny ondsinnet programvare i cyberangrep rettet mot Ukraina. Skadevaren, kalt Graphiron av Symantec, er arbeidet til en spionasjegruppe kjent som Nodaria, som spores av CERT-UA som UAC-0056. I følge Symantecs Threat Hunter Team er denne skadevaren skrevet i Go og er designet for å samle et bredt spekter av informasjon fra den infiserte datamaskinen som systeminformasjon, legitimasjon, skjermbilder og filer.
Nodaria ble først lagt merke til av CERT-UA i januar 2022 for bruk av SaintBot og OutSteel malware i spyd-phishing-angrep mot statlige enheter. Hackergruppen har også blitt referert til som DEV-0586, TA471 og UNC2589 og har blitt koblet til destruktive WhisperGate (aka PAYWIPE) datasviskerangrep på ukrainske enheter rundt samme tid. Den har vært aktiv siden april 2021 og har distribuert tilpassede bakdører som GraphSteel og GrimPlant i forskjellige kampanjer etter Russlands militære invasjon av Ukraina. Cobalt Strike Beacon ble også brukt til etterutnyttelse i noen inntrengninger.
Graphiron er det siste tillegget til Nodarias verktøysett og er en forbedret versjon av GraphSteel. Den er skrevet i Go-versjon 1.18, som ble utgitt i mars 2022, noe som tyder på at det er en nyere utvikling. De tidligste bevisene for bruken dateres tilbake til oktober 2022, og den har blitt brukt i angrep til minst midten av januar 2023.
Infeksjonskjeden involverer to stadier, hvor det første trinnet er en nedlaster som er ansvarlig for å hente en kryptert nyttelast som holder Graphiron malware fra en ekstern server.
Graphiron er nok et eksempel på trusselaktørens fokus på Ukraina og dets regjeringsenheter, noe som gjør det viktig for organisasjoner i regionen å være klar over denne nye skadelige programvaren og ta skritt for å beskytte seg mot den.
Hva er infostealing malware?
Infostealing malware er en farlig type ondsinnet programvare som kan brukes til å stjele konfidensiell informasjon fra datasystemer uten brukerens viten. Den kan brukes til å få tilgang til passord, økonomiske data og annen sensitiv informasjon. Infostealing malware kan også brukes til å spionere på brukere ved å ta skjermbilder eller ta opp tastetrykk. Denne typen skadelig programvare spres ofte gjennom phishing-e-poster, ondsinnede nettsteder eller infiserte filer.
Det er viktig for organisasjoner og enkeltpersoner å ta skritt for å beskytte seg mot informasjonsstjeling av skadelig programvare ved å bruke sterke passord, holde systemene deres oppdatert med de nyeste sikkerhetsoppdateringene og unngå mistenkelige koblinger eller nedlastinger. I tillegg er det viktig å overvåke nettverksaktivitet for enhver mistenkelig aktivitet som kan indikere en infeksjon. Ved å ta disse forholdsreglene kan organisasjoner og enkeltpersoner bidra til å beskytte seg mot denne typen skadelig programvare.
