Graphiron Malware som används mot Ukraina
En rysk-länkad hotaktör har observerats använda en ny skadlig programvara i cyberattacker mot Ukraina. Skadlig programvara, kallad Graphiron av Symantec, är ett verk av en spionagegrupp känd som Nodaria som spåras av CERT-UA som UAC-0056. Enligt Symantecs Threat Hunter Team är denna skadliga programvara skriven i Go och är utformad för att samla in ett brett utbud av information från den infekterade datorn såsom systeminformation, referenser, skärmdumpar och filer.
Nodaria uppmärksammades först av CERT-UA i januari 2022 för att ha använt SaintBot och OutSteel skadlig programvara i spjutfiskeattacker mot statliga enheter. Hackargruppen har också kallats DEV-0586, TA471 och UNC2589 och har kopplats till destruktiva WhisperGate (aka PAYWIPE) datatorkarattacker på ukrainska enheter ungefär samtidigt. Det har varit aktivt sedan april 2021 och har distribuerat anpassade bakdörrar som GraphSteel och GrimPlant i olika kampanjer efter Rysslands militära invasion av Ukraina. Cobalt Strike Beacon användes också för efterexploatering vid vissa intrång.
Graphiron är det senaste tillägget till Nodarias verktygslåda och är en förbättrad version av GraphSteel. Den är skriven i Go version 1.18, som släpptes i mars 2022, vilket tyder på att det är en nyare utveckling. De tidigaste bevisen på dess användning går tillbaka till oktober 2022 och den har använts i attacker till åtminstone mitten av januari 2023.
Infektionskedjan omfattar två steg, där det första steget är en nedladdare som ansvarar för att hämta en krypterad nyttolast som håller Graphiron skadlig programvara från en fjärrserver.
Graphiron är ännu ett exempel på hotaktörens fokus på Ukraina och dess statliga enheter, vilket gör det viktigt för organisationer i regionen att vara medvetna om denna nya skadliga programvara och vidta åtgärder för att skydda sig mot den.
Vad är infostealing malware?
Infostealing malware är en farlig typ av skadlig programvara som kan användas för att stjäla konfidentiell information från datorsystem utan användarens vetskap. Den kan användas för att få tillgång till lösenord, finansiell information och annan känslig information. Infostöld skadlig programvara kan också användas för att spionera på användare genom att ta skärmdumpar eller spela in tangenttryckningar. Denna typ av skadlig programvara sprids ofta genom nätfiske-e-postmeddelanden, skadliga webbplatser eller infekterade filer.
Det är viktigt för organisationer och individer att vidta åtgärder för att skydda sig mot infostöld skadlig programvara genom att använda starka lösenord, hålla sina system uppdaterade med de senaste säkerhetskorrigeringarna och undvika misstänkta länkar eller nedladdningar. Dessutom är det viktigt att övervaka nätverksaktivitet för alla misstänkta aktiviteter som kan tyda på en infektion. Genom att vidta dessa försiktighetsåtgärder kan organisationer och individer hjälpa till att skydda sig mot denna typ av skadlig programvara.
