Logiciel malveillant Graphiron

Un acteur de menace sophistiqué ayant des liens avec la Russie a été découvert en train de déployer de nouveaux logiciels menaçants dans des cyberattaques ciblées contre l'Ukraine. La menace infostealer est suivie sous le nom de Graphiron par des experts en cybersécurité. Le groupe d'espionnage derrière le malware est connu sous le nom de Nodaria et est surveillé par le CERT-UA (Computer Emergency Response Team of Ukraine), qui l'a étiqueté comme UAC-0056.

Écrit dans le langage de programmation Go, le malware Graphiron est conçu pour collecter une grande quantité de données à partir des machines infectées, allant des informations système et des informations d'identification aux captures d'écran et aux fichiers. Il convient de noter que Graphiron semble faire partie d'une campagne en cours visant des cibles ukrainiennes. Des détails sur les opérations menaçantes et le malware Graphiron ont été révélés dans un rapport d'experts de la sécurité informatique.

Campagnes d'attaques multiples attribuées à Nodaria

Le groupe de hackers Nodaria est actif depuis au moins avril 2021 et est connu pour avoir déployé des portes dérobées personnalisées telles que GraphSteel et GrimPlant dans plusieurs campagnes suite à l'invasion de l'Ukraine par la Russie. Certaines intrusions ont inclus l'utilisation de la balise Cobalt Strike pour la post-exploitation. Le CERT-UA a détecté leur activité pour la première fois en janvier 2022, où ils utilisaient les logiciels malveillants SaintBot et OutSteel dans des attaques de harponnage contre des entités gouvernementales. Les pirates ont également été liés à l'attaque destructrice d'effacement de données connue sous le nom de « WhisperGate » ou « PAYWIPE », ciblant des entités ukrainiennes à peu près au même moment. Les autres noms que les pirates Nodaria ont suivis incluent DEV-0586, TA471 et UNC2589.

Les capacités des logiciels malveillants Graphiron

Graphiron est le nouvel outil menaçant à rejoindre l'arsenal de Nodaria. Il s'agit d'une version améliorée du précédent malware des pirates GraphSteel. Une fois qu'il a infiltré l'appareil ciblé, Graphiron peut exécuter des commandes shell et collecter des informations du système - y compris des fichiers, des détails, des captures d'écran et des clés SSH. Il se démarque également par son utilisation de la version 1.18 de Go (sortie en mars 2022).

Les preuves suggèrent que Graphiron a été initialement utilisé dans des attaques à partir d'octobre 2022 et est resté actif au moins jusqu'à la mi-janvier 2023. Lors de l'analyse de la chaîne d'infection, un processus en deux étapes a été découvert dans lequel un téléchargeur est utilisé pour récupérer une charge utile cryptée contenant le logiciel malveillant Graphiron. depuis un serveur distant.