Graphiron-Malware
Ein ausgeklügelter Bedrohungsakteur mit Verbindungen zu Russland wurde entdeckt, der neue Bedrohungssoftware bei gezielten Cyberangriffen auf die Ukraine einsetzt. Die Infostealer-Bedrohung wird von Cybersicherheitsexperten als Graphiron verfolgt. Die Spionagegruppe hinter der Malware ist als Nodaria bekannt und wird von CERT-UA (Computer Emergency Response Team of Ukraine) überwacht, das sie als UAC-0056 markiert hat.
Die in der Programmiersprache Go geschriebene Graphiron-Malware wurde entwickelt, um eine große Menge an Daten von den infizierten Computern zu sammeln, die von Systeminformationen und Anmeldeinformationen bis hin zu Screenshots und Dateien reichen. Es ist bemerkenswert, dass Graphiron Teil einer laufenden Kampagne zu sein scheint, die auf ukrainische Ziele abzielt. Details zu den bedrohlichen Operationen und der Graphiron-Malware wurden in einem Bericht von Infosec-Experten enthüllt.
Mehrere Angriffskampagnen, die Nodaria zugeschrieben werden
Die Hackergruppe Nodaria ist seit mindestens April 2021 aktiv und dafür bekannt, in mehreren Kampagnen nach der russischen Invasion in der Ukraine benutzerdefinierte Hintertüren wie GraphSteel und GrimPlant einzusetzen. Einige Eingriffe beinhalteten die Verwendung des Cobalt Strike Beacon für die Nachnutzung. CERT-UA entdeckte ihre Aktivitäten erstmals im Januar 2022, als sie die SaintBot- und die OutSteel-Malware für Spear-Phishing-Angriffe gegen Regierungsstellen einsetzten. Die Hacker wurden auch mit dem zerstörerischen Datenlöscher-Angriff namens „ WhisperGate “ oder „PAYWIPE“ in Verbindung gebracht, der etwa zur gleichen Zeit auf ukrainische Unternehmen abzielte. Andere Namen, die die Nodaria-Hacker verfolgt haben, sind DEV-0586, TA471 und UNC2589.
Die Graphiron-Malware-Fähigkeiten
Graphiron ist das neueste Drohwerkzeug, das sich Nodarias Arsenal anschließt. Es handelt sich um eine verbesserte Version der früheren Malware der Hacker, GraphSteel. Sobald es das Zielgerät infiltriert hat, kann Graphiron Shell-Befehle ausführen und Informationen vom System sammeln – einschließlich Dateien, Details, Screenshots und SSH-Schlüsseln. Es zeichnet sich auch durch die Verwendung der Go-Version 1.18 (veröffentlicht im März 2022) aus.
Es gibt Hinweise darauf, dass Graphiron ursprünglich ab Oktober 2022 für Angriffe verwendet wurde und bis mindestens Mitte Januar 2023 aktiv blieb. Bei der Analyse der Infektionskette wurde ein zweistufiger Prozess entdeckt, bei dem ein Downloader verwendet wird, um eine verschlüsselte Nutzlast abzurufen, die die Graphiron-Malware enthält von einem entfernten Server.
