Η διαβόητη ρωσική οργάνωση hacking Nodaria (UAC-0056), έχει εξαπολύσει ένα νέο information-stealing malware που ονομάζεται “Graphiron” σε ουκρανικές οντότητες με σκοπό την κλοπή ευαίσθητων πληροφοριών.
Το κακόβουλο λογισμικό Go μπορεί να συλλέξει μια ευρεία ποικιλία δεδομένων από τα μολυσμένα μηχανήματα, συμπεριλαμβανομένων λεπτομερειών λογαριασμού, πληροφοριών συστήματος και δεδομένων εφαρμογών. Το κακόβουλο λογισμικό είναι επίσης ικανό να λαμβάνει screenshot και να κλέβει αρχεία από τις μολυσμένες συσκευές.
Η ομάδα έρευνας απειλών της Symantec αποκάλυψε ότι η ομάδα hacking Nodaria χρησιμοποιούσε το Graphiron σε επιθέσεις από τις αρχές Οκτωβρίου 2022 έως τα μέσα Ιανουαρίου 2023.
Δείτε επίσης: Το Medusa botnet επιστρέφει ως παραλλαγή που βασίζεται στο Mirai
Δείτε επίσης: 2022: Οι επιθέσεις ransomware μειώθηκαν αλλά οι BEC αυξήθηκαν
Κλοπή ευαίσθητων πληροφοριών
Το Graphiron αποτελείται από ένα πρόγραμμα λήψης και ένα δευτερεύον ωφέλιμο φορτίο κλοπής πληροφοριών.
Μετά την ενεργοποίηση, το πρόγραμμα λήψης θα ανιχνεύσει οποιοδήποτε λογισμικό προστασίας από ιούς ή κακόβουλο λογισμικό και, εάν δεν βρεθεί κανένα, προχωρά στη λήψη του κακόβουλου component που κλέβει δεδομένα.
Μερικές από τις διαδικασίες για τις οποίες ελέγχει το πρόγραμμα λήψης περιλαμβάνουν τα BurpSuite, Charles, Fiddler, rpcapd, smsniff, Wireshark, x96dbg, ollydbg και idag.
Το κακόβουλο λογισμικό χρησιμοποιεί ονόματα όπως OfficeTemplate.exe και MicrosoftOfficeDashboard.exe για να μεταμφιεστεί ως στοιχείο του Microsoft Office στο σύστημα που έχει παραβιαστεί.
Το κακόβουλο λογισμικό χρησιμοποιεί τον ακόλουθο κώδικα PowerShell για να υποκλέψει κωδικούς πρόσβασης από το Windows Vault, τον ενσωματωμένο διαχειριστή κωδικών πρόσβασης του συστήματος, όπου τα αποθηκευμένα credentials αποθηκεύονται σε κρυπτογραφημένη μορφή AES-256.
Το Graphiron χρησιμοποιεί κρυπτογράφηση AES με προ-προγραμματισμένα κλειδιά για την επικοινωνία μέσω της θύρας 443, αντικατοπτρίζοντας παλαιότερα κακόβουλα προγράμματα όπως το GraphSteal και το GrimPlant.
Δείτε επίσης: CISA: Παρέχει recovery script για τα θύματα του ESXiArgs ransomware
Η Nodaria στοχεύει την Ουκρανία
Η Nodaria είναι η κακόβουλη οντότητα που εξαπέλυσε το “WhisperGate” ransomware, στα ουκρανικά δίκτυα τον Ιανουάριο του 2022, αφήνοντας πίσω της καταστροφικές συνέπειες της καταστροφής δεδομένων.
Γενικά, οι Ρώσοι χάκερ αναπτύσσουν τα κακόβουλα φορτία τους στους στόχους μέσω σχολαστικά σχεδιασμένων spear-phishing email, εκμεταλλευόμενοι τον συνεχιζόμενο πόλεμο και τις τεράστιες δυνατότητές του για επιτυχημένα δέλεαρ.
Το Graphiron είναι η νεότερη προσθήκη στη συλλογή της ομάδας Nodaria, ενοποιώντας τα πλεονεκτήματα των προηγούμενων προσαρμοσμένων εργαλείων της σε ένα μοναδικό πακέτο, ενώ παράλληλα εισάγει δυνατότητες obfuscation.
Αυτό δείχνει ότι η Nodaria θα συνεχίσει να στοχεύει ουκρανικούς οργανισμούς σε μια προσπάθεια να συλλέξει πολύτιμες πληροφορίες από στόχους υψηλού προφίλ.
Πηγή πληροφοριών: bleepingcomputer.com
, έχει εξαπολύσει ένα νέο information-stealing malware που ονομάζεται "Graphiron"...){kind=link}