Руската хакерска група, известна като „Nodaria“ (UAC-0056), използва нов зловреден софтуер за кражба на информация, наречен „Graphiron“, за да краде данни от украински организации.
Базираният на Go зловреден софтуер може да събира широк спектър от информация, включително идентификационни данни за акаунти, системни данни и данни за приложения. Зловредният софтуер също така заснема екранни снимки и екфилтрира файлове от компрометирани машини.
Екипът за изследване на заплахите на Symantec откри, че Nodaria използва Graphiron в атаки поне от октомври 2022 г. до средата на януари 2023 г.
Graphiron се състои от програма за изтегляне и вторичен полезен товар за кражба на информация.
При стартиране на програмата за изтегляне тя проверява за различни инструменти за анализ на софтуер за сигурност и зловреден софтуер и ако такива не бъдат открити, изтегля компонента за кражба на информация.
Някои от процесите, за които се проверява, включват BurpSuite, Charles, Fiddler, rpcapd, smsniff, Wireshark, x96dbg, ollydbg и idag.
Зловредният софтуер използва имена като OfficeTemplate.exe и MicrosoftOfficeDashboard.exe, за да се маскира като компонент на Microsoft Office в нарушената система.
Възможностите му включват следното:
Зловредният софтуер използва следния PowerShell код, за да открадне пароли от Windows Vault, вградения мениджър на пароли на системата, където записаните данни се съхраняват в AES-256 криптирана форма.
Graphiron използва AES криптиране с твърдо кодирани ключове за комуникация със сървъра C2 през порт 443, което е забележителна прилика с по-стари инструменти на Nodaria като GraphSteal и GrimPlant.
Nodaria е същиятизвършител, който през януари 2022 г. разгърна фалшив ransomware на име „WhisperGate“ в украинските мрежи, извършвайки разрушителни атаки за изтриване на данни.
Обикновено руските хакери доставят полезните си товари на целите чрез spear-phishing имейли, като продължаващата война предоставя много възможности за ефективни примамки.
„Въпреки че Nodaria беше сравнително неизвестна преди руската инвазия в Украйна, активността на групата на високо ниво през последната година предполага, че сега тя е един от ключовите играчи в продължаващите киберкампании на Русия срещу Украйна.“ заявиха от Symantec.
Graphiron е най-новото попълнение в арсенала на Nodaria, което съчетава характеристиките на предишните потребителски инструменти на групата в един полезен товар, като същевременно се отличава с обфускация.
Това е знак, че Nodaria ще продължи да се насочва към украински организации, опитвайки се да събира ценна информация от високопоставени цели.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.