استفاده هکرهای روسی از بدافزار Graphiron برای سرقت اطلاعات اوکراین

به گزارش سیتنا، این بدافزار ساخت گروه جاسوسی معروف به Nodaria است که توسط تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) با نام UAC-0056 ردیابی شده است.

تیم شکارچی تهدید Symantec گفت: "این بدافزار در Go نوشته شده است و برای جمع‌آوری طیف گسترده‌ای اطلاعات از رایانه آلوده، مانند اطلاعات سیستم، اعتبارنامه ها، اسکرین شات ها و فایل ها طراحی شده است."

Nodaria برای اولین بار توسط CERT-UA در ژانویه 2022 مورد توجه قرار گرفت و توجه دشمن را به استفاده از بدافزار SaintBot و OutSteel در حملات spear-phishing که نهادهای دولتی را هدف قرار می‌دهد، جلب کرد.

گروه هک که DEV-0586، TA471 و UNC2589 نیز نامیده می‌شود، با حملات مخرب WhisperGate (با نام مستعار PAYWIPE) که نهادهای اوکراینی را همزمان مورد هدف قرار می‌داد، مرتبط شده است.

این گروه که گفته می‌شود حداقل از آوریل 2021 فعال است، بارها درهای پشتی سفارشی مانند GraphSteel و GrimPlant را در کمپین های مختلف پس از تهاجم نظامی روسیه به اوکراین مستقر کرده است.

Graphiron، آخرین برنامه اضافه شده به زرادخانه این گروه، نسخه بهبودیافته GraphSteel است که دارای ویژگی‌هایی برای اجرای دستورات پوسته و جمع آوری اطلاعات سیستم، فایل‌ها، اعتبارنامه‌ها، اسکرین شات‌ها و کلیدهای SSH است.

یکی دیگر از جنبه‌های قابل توجه این است که در حالی که GraphSteel و GrimPlant از Go نسخه 1.16 استفاده کردند، Graphiron به نسخه 1.18 متکی است که به طور رسمی در مارس 2022 عرضه شد. این همچنین نشان می‌دهد که Graphiron یک توسعه جدیدتر است.

اولین شواهد استفاده از Graphiron به اکتبر 2022 باز می‌گردد و حداقل تا اواسط ژانویه 2023 در حملات استفاده شده است. علاوه بر این، تجزیه و تحلیل زنجیره‌های آلودگی وجود دو مرحله را نشان می‌دهد، یک دانلودکننده که مسئول بازیابی و دیگری محموله رمزگذاری‌شده حاوی بدافزار Graphiron از یک سرور راه دور است.

انتهای پیام