Graphiron マルウェア

ロシアとのつながりを持つ洗練された攻撃者が、ウクライナを標的としたサイバー攻撃で新しい脅威ソフトウェアを展開していることが発見されました。 Infostealer の脅威は、サイバーセキュリティの専門家によって Graphiron として追跡されています。マルウェアの背後にあるスパイ グループは Nodaria として知られており、UAC-0056 としてタグ付けされた CERT-UA (ウクライナのコンピュータ緊急対応チーム) によって監視されています。

Go プログラミング言語で記述された Graphiron マルウェアは、システム情報や資格情報からスクリーンショットやファイルに至るまで、感染したマシンから大量のデータを収集するように設計されています。 Graphiron が、ウクライナの標的を狙った進行中のキャンペーンの一部であるように見えることは注目に値します。脅迫的な操作と Graphiron マルウェアに関する詳細は、情報セキュリティの専門家によるレポートで明らかになりました。

Nodaria に起因する複数の攻撃キャンペーン

ハッカー グループ Nodaria は少なくとも 2021 年 4 月から活動しており、ロシアのウクライナ侵攻後のいくつかのキャンペーンで、GraphSteel や GrimPlant などのカスタム バックドアを展開することで知られています。一部の侵入には、悪用後のCobalt Strike Beacon の使用が含まれています。 CERT-UA は 2022 年 1 月に彼らの活動を初めて検出しました。このとき、彼らは政府機関に対するスピア フィッシング攻撃で SaintBot と OutSteel マルウェアを使用していました。ハッカーはまた、「 WhisperGate 」または「PAYWIPE」として知られる破壊的なデータ ワイパー攻撃にも関連しており、ほぼ同時期にウクライナのエンティティを標的にしていました。 Nodaria ハッカーが追跡した他の名前には、DEV-0586、TA471、UNC2589 などがあります。

Graphiron マルウェアの機能

Graphiron は、Nodaria の兵器庫に加わる最新の脅威ツールです。これは、ハッカーの以前のマルウェアである GraphSteel の強化版です。標的のデバイスに侵入すると、Graphiron はシェル コマンドを実行し、ファイル、詳細、スクリーンショット、SSH キーなどの情報をシステムから収集できます。また、Go バージョン 1.18 (2022 年 3 月リリース) の使用も際立っています。

証拠によると、Graphiron は 2022 年 10 月の攻撃で最初に使用され、少なくとも 2023 年 1 月中旬まで活動を続けていました。感染チェーンを分析したところ、Graphiron マルウェアを含む暗号化されたペイロードを取得するためにダウンローダーを使用する 2 段階のプロセスが発見されました。リモートサーバーから。