Programa malicioso Graphiron
Se ha descubierto un actor de amenazas sofisticado con vínculos a Rusia que despliega un nuevo software amenazante en ataques cibernéticos dirigidos a Ucrania. La amenaza del ladrón de información es rastreada como Graphiron por expertos en ciberseguridad. El grupo de espionaje detrás del malware se conoce como Nodaria y es monitoreado por CERT-UA (Equipo de Respuesta a Emergencias Informáticas de Ucrania), quien lo etiquetó como UAC-0056.
Escrito en el lenguaje de programación Go, el malware Graphiron está diseñado para recopilar una gran cantidad de datos de las máquinas infectadas, desde información y credenciales del sistema hasta capturas de pantalla y archivos. Cabe señalar que Graphiron parece ser parte de una campaña en curso dirigida a objetivos ucranianos. Los detalles sobre las operaciones amenazantes y el malware Graphiron fueron revelados en un informe de expertos en seguridad informática.
Campañas de ataques múltiples atribuidas a Nodaria
El grupo de piratas informáticos Nodaria ha estado activo desde al menos abril de 2021 y es conocido por implementar puertas traseras personalizadas como GraphSteel y GrimPlant en varias campañas luego de la invasión rusa de Ucrania. Algunas intrusiones han incluido el uso de Cobalt Strike Beacon para la explotación posterior. CERT-UA detectó por primera vez su actividad en enero de 2022, donde estaban usando el malware SaintBot y OutSteel en ataques de phishing dirigido contra entidades gubernamentales. Los piratas informáticos también han sido vinculados al destructivo ataque de limpieza de datos conocido como ' WhisperGate ' o 'PAYWIPE', dirigido a entidades ucranianas casi al mismo tiempo. Otros nombres que los piratas informáticos de Nodaria han rastreado incluyen DEV-0586, TA471 y UNC2589.
Las capacidades del software malicioso Graphiron
Graphiron es la nueva herramienta amenazante que se une al arsenal de Nodaria. Es una versión mejorada del anterior malware GraphSteel de los piratas informáticos. Una vez que se ha infiltrado en el dispositivo de destino, Graphiron puede ejecutar comandos de shell y recopilar información del sistema, incluidos archivos, detalles, capturas de pantalla y claves SSH. También destaca por su uso de la versión 1.18 de Go (lanzada en marzo de 2022).
La evidencia sugiere que Graphiron se usó inicialmente en ataques desde octubre de 2022 y permaneció activo hasta al menos mediados de enero de 2023. Al analizar la cadena de infección, se descubrió un proceso de dos etapas en el que se emplea un descargador para recuperar una carga útil cifrada que contiene el malware Graphiron. desde un servidor remoto.
