Вредоносное ПО Graphiron используется против Украины
Было замечено, что связанный с Россией злоумышленник использует новое вредоносное программное обеспечение в кибератаках, нацеленных на Украину. Вредоносное ПО, получившее название Graphiron от Symantec, является работой шпионской группы, известной как Nodaria, которая отслеживается CERT-UA как UAC-0056. По словам команды Symantec Threat Hunter, это вредоносное ПО написано на Go и предназначено для сбора широкого спектра информации с зараженного компьютера, такой как системная информация, учетные данные, снимки экрана и файлы.
Нодария впервые была замечена CERT-UA в январе 2022 года за использование вредоносных программ SaintBot и OutSteel в целевых фишинговых атаках на государственные структуры. Хакерская группа также упоминается как DEV-0586, TA471 и UNC2589 и была связана с деструктивными атаками WhisperGate (он же PAYWIPE) на украинские организации примерно в то же время. Он активен с апреля 2021 года и развернул специальные бэкдоры, такие как GraphSteel и GrimPlant, в различных кампаниях после военного вторжения России в Украину. Cobalt Strike Beacon также использовался для постэксплуатации при некоторых вторжениях.
Graphiron — это последнее дополнение к инструментарию Nodaria и улучшенная версия GraphSteel. Он написан на Go версии 1.18, выпущенной в марте 2022 года, что позволяет предположить, что это более поздняя разработка. Самые ранние свидетельства его использования относятся к октябрю 2022 года, и он использовался в атаках как минимум до середины января 2023 года.
Цепочка заражения состоит из двух этапов: на первом этапе загрузчик отвечает за получение зашифрованной полезной нагрузки, содержащей вредоносное ПО Graphiron, с удаленного сервера.
Graphiron — это еще один пример сосредоточения злоумышленника на Украине и ее государственных структурах, поэтому важно, чтобы организации в регионе знали об этом новом вредоносном программном обеспечении и предпринимали шаги для защиты от него.
Что такое вредоносное ПО для кражи информации?
Вредоносное ПО Infostealing — это опасный тип вредоносного программного обеспечения, которое может быть использовано для кражи конфиденциальной информации из компьютерных систем без ведома пользователя. Его можно использовать для получения доступа к паролям, финансовым данным и другой конфиденциальной информации. Вредоносное ПО для кражи информации также может использоваться для слежки за пользователями путем захвата снимков экрана или записи нажатий клавиш. Этот тип вредоносных программ часто распространяется через фишинговые электронные письма, вредоносные веб-сайты или зараженные файлы.
Для организаций и частных лиц важно принять меры для защиты от вредоносного ПО для кражи информации, используя надежные пароли, обновляя свои системы с помощью последних исправлений безопасности и избегая подозрительных ссылок или загрузок. Кроме того, важно отслеживать сетевую активность на предмет любых подозрительных действий, которые могут указывать на заражение. Принимая эти меры предосторожности, организации и отдельные лица могут помочь защитить себя от этого типа вредоносного программного обеспечения.