Було помічено, що пов’язаний з росією зловмисник використовує нове шкідливе програмне забезпечення для крадіжки інформації під час кібератак, націлених на Україну.
Зловмисне програмне забезпечення, назване Graphiron компанією Symantec, що належить Broadcom, створено шпигунською групою, відомою як Nodaria , яка відстежується Групою реагування на комп’ютерні надзвичайні ситуації України (CERT-UA) як UAC-0056.
«Зловмисне програмне забезпечення написане на Go та призначене для збору широкого діапазону інформації з зараженого комп’ютера, включаючи системну інформацію, облікові дані, скріншоти та файли», — йдеться у звіті команди Symantec Threat Hunter Team, наданому The Hacker News.
CERT-UA вперше помітив Nodaria в січні 2022 року, звернувши увагу на використання ними зловмисного програмного забезпечення SaintBot і OutSteel у фішингових атаках, націлених на державні установи.
Група, яка, як кажуть, активна щонайменше з квітня 2021 року, з тих пір неодноразово використовувала спеціальні бекдори, такі як GraphSteel і GrimPlant, у різних кампаніях після військового вторгнення росії в Україну. Деякі вторгнення також призвели до доставки Cobalt Strike Beacon для подальшої експлуатації.
Graphiron, остання програма, додана до арсеналу групи, є вдосконаленою версією GraphSteel, яка містить функції для запуску команд оболонки та збору системної інформації, файлів, облікових даних, скріншотів і ключів SSH.
Ще один важливий аспект полягає в тому, що в той час як GraphSteel і GrimPlant використовували Go версії 1.16, Graphiron покладається на версію 1.18, яка офіційно була випущена в березні 2022 року. Це також свідчить про те, що Graphiron є новішою розробкою.
Крім того, аналіз ланцюгів зараження показує наявність двох етапів завантажувача, який відповідає за отримання зашифрованого корисного навантаження, що містить шкідливе програмне забезпечення Graphiron, із віддаленого сервера.
За останніми висновками Nodaria приєднується до іншої російської державної групи під назвою Gamaredon , яка активно атакує Україну.
«Хоча Nodaria була відносно невідома до російського вторгнення в Україну, активність групи на високому рівні за останній рік свідчить про те, що зараз вона є одним із ключових гравців у поточних кіберкампаніях росії проти України», — заявили в Symantec.