Руска група използва Graphiron information stealer в Украйна

Руската хакерска група, известна като „Nodaria“ (UAC-0056), използва нов зловреден софтуер за кражба на информация, наречен „Graphiron“, за да краде данни от украински организации.

Базираният на Go зловреден софтуер може да събира широк спектър от информация, включително идентификационни данни за акаунти, системни данни и данни за приложения. Зловредният софтуер също така заснема екранни снимки и екфилтрира файлове от компрометирани машини.

Екипът за изследване на заплахите на Symantec откри, че Nodaria използва Graphiron в атаки поне от октомври 2022 г. до средата на януари 2023 г.

Кражба на поверителна информация

Graphiron се състои от програма за изтегляне и вторичен полезен товар за кражба на информация.

При стартиране на програмата за изтегляне тя проверява за различни инструменти за анализ на софтуер за сигурност и зловреден софтуер и ако такива не бъдат открити, изтегля компонента за кражба на информация.

Някои от процесите, за които се проверява, включват BurpSuite, Charles, Fiddler, rpcapd, smsniff, Wireshark, x96dbg, ollydbg и idag.

 

Зловредният софтуер използва имена като OfficeTemplate.exe и MicrosoftOfficeDashboard.exe, за да се маскира като компонент на Microsoft Office в нарушената система.

Възможностите му включват следното:

  • Четене на MachineGuid
  • Получаване на IP адрес от https://checkip.amazonaws.com
  • Извличане на името на хоста, системната информация и информацията за потребителя
  • Краде данни от Firefox и Thunderbird
  • Краде частни ключове от MobaXTerm.
  • Кражба на известни хостове от SSH
  • Кражба на данни от PuTTY
  • Кражба на съхранени пароли
  • Правене на скрийншоти
  • Създаване на директория
  • Изготвяне на списък на директория
  • Изпълнение на команда от шел
  • Кражба на произволен файл

 

Зловредният софтуер използва следния PowerShell код, за да открадне пароли от Windows Vault, вградения мениджър на пароли на системата, където записаните данни се съхраняват в AES-256 криптирана форма.

Graphiron използва AES криптиране с твърдо кодирани ключове за комуникация със сървъра C2 през порт 443, което е забележителна прилика с по-стари инструменти на Nodaria като GraphSteal и GrimPlant.

Nodaria, насочена към Украйна

Nodaria е същиятизвършител, който през януари 2022 г. разгърна фалшив ransomware на име „WhisperGate“ в украинските мрежи, извършвайки разрушителни атаки за изтриване на данни.

Обикновено руските хакери доставят полезните си товари на целите чрез spear-phishing имейли, като продължаващата война предоставя много възможности за ефективни примамки.

„Въпреки че Nodaria беше сравнително неизвестна преди руската инвазия в Украйна, активността на групата на високо ниво през последната година предполага, че сега тя е един от ключовите играчи в продължаващите киберкампании на Русия срещу Украйна.“ заявиха от Symantec.
Graphiron е най-новото попълнение в арсенала на Nodaria, което съчетава характеристиките на предишните потребителски инструменти на групата в един полезен товар, като същевременно се отличава с обфускация.

Това е знак, че Nodaria ще продължи да се насочва към украински организации, опитвайки се да събира ценна информация от високопоставени цели.

Източник: По материали от Интернет

Подобни публикации

27 септември 2023

Нов ZeroFont фишинг подвежда Outlook да показва...

Хакерите използват нов трик за използване на нулеви шрифтове в имей...
27 септември 2023

Google присвоява нов максимален рейтинг CVE на ...

Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сиг...
27 септември 2023

Нова киберпрестъпна група е свързана със 7 фам...

Експерти по киберсигурност разкриха нова група за киберпрестъпления...
27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
Бъдете социални
Още по темата
22/09/2023

NCSC: Защо атаките за кибер...

44CON 2023 – Лондон – Според...
20/09/2023

Microsoft: Кибератаките "Pe...

Microsoft предупреждава, че глобална кампания за...
16/09/2023

Retool обвинява за нарушени...

Софтуерната компания Retool съобщава, че акаунтите...
Последно добавени
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
27/09/2023

Google присвоява нов максим...

Google е определила нов CVE ID...
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!