Руска група използва Graphiron information stealer в Украйна

Руската хакерска група, известна като „Nodaria“ (UAC-0056), използва нов зловреден софтуер за кражба на информация, наречен „Graphiron“, за да краде данни от украински организации.

Базираният на Go зловреден софтуер може да събира широк спектър от информация, включително идентификационни данни за акаунти, системни данни и данни за приложения. Зловредният софтуер също така заснема екранни снимки и екфилтрира файлове от компрометирани машини.

Екипът за изследване на заплахите на Symantec откри, че Nodaria използва Graphiron в атаки поне от октомври 2022 г. до средата на януари 2023 г.

Кражба на поверителна информация

Graphiron се състои от програма за изтегляне и вторичен полезен товар за кражба на информация.

При стартиране на програмата за изтегляне тя проверява за различни инструменти за анализ на софтуер за сигурност и зловреден софтуер и ако такива не бъдат открити, изтегля компонента за кражба на информация.

Някои от процесите, за които се проверява, включват BurpSuite, Charles, Fiddler, rpcapd, smsniff, Wireshark, x96dbg, ollydbg и idag.

Зловредният софтуер използва имена като OfficeTemplate.exe и MicrosoftOfficeDashboard.exe, за да се маскира като компонент на Microsoft Office в нарушената система.

Възможностите му включват следното:

Четене на MachineGuid
Получаване на IP адрес от https://checkip.amazonaws.com
Извличане на името на хоста, системната информация и информацията за потребителя
Краде данни от Firefox и Thunderbird
Краде частни ключове от MobaXTerm.
Кражба на известни хостове от SSH
Кражба на данни от PuTTY
Кражба на съхранени пароли
Правене на скрийншоти
Създаване на директория
Изготвяне на списък на директория
Изпълнение на команда от шел
Кражба на произволен файл

Зловредният софтуер използва следния PowerShell код, за да открадне пароли от Windows Vault, вградения мениджър на пароли на системата, където записаните данни се съхраняват в AES-256 криптирана форма.

Graphiron използва AES криптиране с твърдо кодирани ключове за комуникация със сървъра C2 през порт 443, което е забележителна прилика с по-стари инструменти на Nodaria като GraphSteal и GrimPlant.

Nodaria, насочена към Украйна

Nodaria е същиятизвършител, който през януари 2022 г. разгърна фалшив ransomware на име „WhisperGate“ в украинските мрежи, извършвайки разрушителни атаки за изтриване на данни.

Обикновено руските хакери доставят полезните си товари на целите чрез spear-phishing имейли, като продължаващата война предоставя много възможности за ефективни примамки.

„Въпреки че Nodaria беше сравнително неизвестна преди руската инвазия в Украйна, активността на групата на високо ниво през последната година предполага, че сега тя е един от ключовите играчи в продължаващите киберкампании на Русия срещу Украйна.“ заявиха от Symantec.
Graphiron е най-новото попълнение в арсенала на Nodaria, което съчетава характеристиките на предишните потребителски инструменти на групата в един полезен товар, като същевременно се отличава с обфускация.

Това е знак, че Nodaria ще продължи да се насочва към украински организации, опитвайки се да събира ценна информация от високопоставени цели.

#атаки, # ВОЙНАТА В УКРАЙНА, # РУСИЯ

По материали от Интернет

Подобни

Eксплоатация на zero-day уязвимости в Ivanti EPMM: едно IP зад повечето атаки

16.02.2026

Pазпад на RaaS модела, вътрешни заплахи и нова икономика на атаките

15.02.2026

Lazarus Group атакува програмисти

15.02.2026

ClickFix кампании злоупотребяват с Claude артефакти и Google Ads

15.02.2026

Как киберпрестъпниците интегрират ИИ в атаките си

14.02.2026

Държавни хакери използват Gemini на Google

12.02.2026

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"