استفاده هکرهای روسی از بدافزار Graphiron برای سرقت اطلاعات اوکراین
یک عامل تهدید مرتبط با روسیه، با استفاده از یک بدافزار برای سرقت اطلاعات به نام Graphiron در حملات علیه اوکراین مشاهده شده است.
به گزارش سیتنا، این بدافزار ساخت گروه جاسوسی معروف به Nodaria است که توسط تیم واکنش اضطراری رایانهای اوکراین (CERT-UA) با نام UAC-0056 ردیابی شده است.
تیم شکارچی تهدید Symantec گفت: "این بدافزار در Go نوشته شده است و برای جمعآوری طیف گستردهای اطلاعات از رایانه آلوده، مانند اطلاعات سیستم، اعتبارنامه ها، اسکرین شات ها و فایل ها طراحی شده است."
Nodaria برای اولین بار توسط CERT-UA در ژانویه 2022 مورد توجه قرار گرفت و توجه دشمن را به استفاده از بدافزار SaintBot و OutSteel در حملات spear-phishing که نهادهای دولتی را هدف قرار میدهد، جلب کرد.
گروه هک که DEV-0586، TA471 و UNC2589 نیز نامیده میشود، با حملات مخرب WhisperGate (با نام مستعار PAYWIPE) که نهادهای اوکراینی را همزمان مورد هدف قرار میداد، مرتبط شده است.
این گروه که گفته میشود حداقل از آوریل 2021 فعال است، بارها درهای پشتی سفارشی مانند GraphSteel و GrimPlant را در کمپین های مختلف پس از تهاجم نظامی روسیه به اوکراین مستقر کرده است.
Graphiron، آخرین برنامه اضافه شده به زرادخانه این گروه، نسخه بهبودیافته GraphSteel است که دارای ویژگیهایی برای اجرای دستورات پوسته و جمع آوری اطلاعات سیستم، فایلها، اعتبارنامهها، اسکرین شاتها و کلیدهای SSH است.
یکی دیگر از جنبههای قابل توجه این است که در حالی که GraphSteel و GrimPlant از Go نسخه 1.16 استفاده کردند، Graphiron به نسخه 1.18 متکی است که به طور رسمی در مارس 2022 عرضه شد. این همچنین نشان میدهد که Graphiron یک توسعه جدیدتر است.
اولین شواهد استفاده از Graphiron به اکتبر 2022 باز میگردد و حداقل تا اواسط ژانویه 2023 در حملات استفاده شده است. علاوه بر این، تجزیه و تحلیل زنجیرههای آلودگی وجود دو مرحله را نشان میدهد، یک دانلودکننده که مسئول بازیابی و دیگری محموله رمزگذاریشده حاوی بدافزار Graphiron از یک سرور راه دور است.
انتهای پیام
افزودن دیدگاه جدید