Ngày 08 tháng 2 năm 2023Ravie Lakshmanan Thông tin tình báo về mối đe dọa / An toàn dữ liệu
Một tác nhân đe dọa có liên kết với Nga đã được quan sát triển khai một phần mềm độc hại đánh cắp thông tin mới trong các cuộc tấn công mạng nhắm vào Ukraine.
Được đặt tên là Graphiron bởi Symantec thuộc sở hữu của Broadcom, phần mềm độc hại này là công việc của một nhóm gián điệp được gọi là Nodariađược theo dõi bởi Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) với tên UAC-0056.
“Phần mềm độc hại được viết bằng Go và được thiết kế để thu thập nhiều loại thông tin từ máy tính bị nhiễm, bao gồm thông tin hệ thống, thông tin đăng nhập, ảnh chụp màn hình và tệp”, Nhóm Thợ săn Đe dọa Symantec cho biết trong một báo cáo được chia sẻ với The hacker news.
Nodaria lần đầu tiên được CERT-UA chú ý vào tháng 1 năm 2022, kêu gọi sự chú ý đến việc kẻ thù sử dụng phần mềm độc hại SaintBot và OutSteel trong các cuộc tấn công lừa đảo trực tuyến nhắm vào các tổ chức chính phủ.
Nhóm được cho là đã hoạt động ít nhất là từ tháng 4 năm 2021, kể từ đó đã liên tục triển khai các cửa hậu tùy chỉnh như GraphSteel và GrimPlant trong các chiến dịch khác nhau kể từ khi Nga xâm lược Ukraine. Một số cuộc xâm nhập cũng dẫn đến việc cung cấp Cobalt Strike Beacon để hậu khai thác.
Graphiron, chương trình mới nhất được thêm vào kho vũ khí của nhóm, là phiên bản cải tiến của GraphSteel, tích hợp các tính năng để chạy các lệnh trình bao và thu thập thông tin hệ thống, tệp, thông tin xác thực, ảnh chụp màn hình và khóa SSH.
Một khía cạnh đáng chú ý khác là trong khi GraphSteel và GrimPlant sử dụng phiên bản Go 1.16, thì Graphiron dựa trên phiên bản 1.18, chính thức được phát hành vào tháng 3 năm 2022. Điều này cũng cho thấy Graphiron là một sự phát triển gần đây hơn.
Hơn nữa, một phân tích về chuỗi lây nhiễm cho thấy sự hiện diện của hai giai đoạn, một trình tải xuống chịu trách nhiệm truy xuất tải trọng được mã hóa có chứa phần mềm độc hại Graphiron từ một máy chủ từ xa.
Với những phát hiện mới nhất, Nodaria tham gia vào một nhóm khác do nhà nước Nga tài trợ có tên là Gamaredon trong việc chỉ ra Ukraine một cách rộng rãi.
Symantec cho biết: “Mặc dù Nodaria tương đối ít được biết đến trước cuộc xâm lược Ukraine của Nga, hoạt động cấp cao của nhóm trong năm qua cho thấy rằng nó hiện là một trong những nhân tố chính trong các chiến dịch mạng đang diễn ra của Nga chống lại Ukraine”.
