Szkodliwe oprogramowanie Graphiron użyte przeciwko Ukrainie
Zaobserwowano, że powiązany z Rosją cyberprzestępca wdraża nowe złośliwe oprogramowanie w cyberatakach wymierzonych w Ukrainę. Złośliwe oprogramowanie, nazwane Graphiron przez firmę Symantec, jest dziełem grupy szpiegowskiej znanej jako Nodaria, która jest śledzona przez CERT-UA jako UAC-0056. Według zespołu Threat Hunter firmy Symantec, to złośliwe oprogramowanie jest napisane w Go i ma na celu zbieranie szerokiego zakresu informacji z zainfekowanego komputera, takich jak informacje o systemie, dane uwierzytelniające, zrzuty ekranu i pliki.
Nodaria został po raz pierwszy zauważony przez CERT-UA w styczniu 2022 r. za wykorzystywanie złośliwego oprogramowania SaintBot i OutSteel w atakach typu spear phishing na podmioty rządowe. Grupa hakerska była również określana jako DEV-0586, TA471 i UNC2589 i była powiązana z destrukcyjnymi atakami WhisperGate (aka PAYWIPE) na ukraińskie podmioty w tym samym czasie. Działa od kwietnia 2021 r. i wdrażał niestandardowe backdoory, takie jak GraphSteel i GrimPlant, w różnych kampaniach po rosyjskiej inwazji wojskowej na Ukrainę. Cobalt Strike Beacon był również używany do post-eksploatacji w niektórych włamaniach.
Graphiron to najnowszy dodatek do zestawu narzędzi Nodarii i jest ulepszoną wersją GraphSteel. Jest napisany w Go w wersji 1.18, która została wydana w marcu 2022 roku, co sugeruje, że jest to nowsza wersja. Najwcześniejsze dowody jego użycia pochodzą z października 2022 roku i były wykorzystywane w atakach co najmniej do połowy stycznia 2023 roku.
Łańcuch infekcji składa się z dwóch etapów, przy czym pierwszym etapem jest downloader odpowiedzialny za pobranie zaszyfrowanego ładunku zawierającego szkodliwe oprogramowanie Graphiron ze zdalnego serwera.
Graphiron to kolejny przykład skupienia się tego cyberprzestępcy na Ukrainie i jej podmiotach rządowych, co sprawia, że organizacje w regionie muszą być świadome istnienia tego nowego złośliwego oprogramowania i podjąć kroki w celu ochrony przed nim.
Co to jest złośliwe oprogramowanie kradnące informacje?
Złośliwe oprogramowanie wykradające informacje to niebezpieczny rodzaj złośliwego oprogramowania, którego można używać do kradzieży poufnych informacji z systemów komputerowych bez wiedzy użytkownika. Może służyć do uzyskiwania dostępu do haseł, danych finansowych i innych poufnych informacji. Złośliwe oprogramowanie kradnące informacje może być również wykorzystywane do szpiegowania użytkowników poprzez przechwytywanie zrzutów ekranu lub nagrywanie naciśnięć klawiszy. Ten rodzaj złośliwego oprogramowania jest często rozpowszechniany za pośrednictwem wiadomości e-mail służących do wyłudzania informacji, złośliwych witryn internetowych lub zainfekowanych plików.
Ważne jest, aby organizacje i osoby prywatne podejmowały kroki w celu ochrony przed złośliwym oprogramowaniem kradnącym informacje, używając silnych haseł, aktualizując swoje systemy za pomocą najnowszych poprawek bezpieczeństwa i unikając podejrzanych łączy lub pobierania. Ponadto ważne jest, aby monitorować aktywność sieciową pod kątem wszelkich podejrzanych działań, które mogą wskazywać na infekcję. Podejmując te środki ostrożności, organizacje i osoby prywatne mogą chronić się przed tego typu złośliwym oprogramowaniem.
