Новости Группировка Nodaria использует новый инфостилер в атаках на госучреждения Украины

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022

Программа написана на Golang и является улучшенной версией бэкдоров группы.​


jlmlvfhk9tztvm3s8xgyesl5wgn9qn82.jpg


Специалисты из ИБ-компании Symantec обнаружили, что группировка Nodaria использует новое вредоносное ПО для кражи данных в атаках на госучреждения Украины. Исследователи безопасности Symantec назвали вредоносное ПО Graphiron.

Согласно Для просмотра ссылки Войди или Зарегистрируйся Symantec, вредоносное ПО написано на Для просмотра ссылки Войди или Зарегистрируйся и предназначено для сбора широкого спектра информации с зараженного компьютера, включая системную информацию, учетные данные, снимки экрана и файлы.

Graphiron представляет собой улучшенную версию бэкдора группы GraphSteel, в которой есть функции для запуска команд оболочки и сбора системной информации, файлов, учетных данных, снимков экрана и SSH-ключей. Самые ранние свидетельства использования Graphiron относятся к октябрю 2022 года, и он использовался в атаках как минимум до середины января 2023 года.

Кроме того, анализ цепочек заражения показывает наличие двух этапов: загрузчик (1 этап) при выполнении проверяет наличие определённых инструментов анализа вредоносных программ – если они не найдены, то он подключится к C2-серверу, загрузит и расшифрует полезную нагрузку Graphiron (2 этап), а затем добавит ее в автозапуск.

Полезная нагрузка способна выполнять следующие задачи:

  • Извлекает имя хоста, информацию о системе и информацию о пользователе;
  • Крадет данные из Firefox и Thunderbird;
  • Похищает закрытые ключи от MobaXTerm;
  • Похищает известные хосты SSH;
  • Крадет данные из PuTTY;
  • Крадет сохраненные пароли;
  • Делает скриншоты;
  • Создает каталог;
  • Перечисляет каталог;
  • Запускает команду оболочки;
  • Похищает произвольные файлы.

Группа Nodaria отслеживается Группой реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) как Для просмотра ссылки Войди или Зарегистрируйся и впервые была обнаружена в январе 2022 года. Тогда группировка использовала вредоносное ПО SaintBot и OutSteel в целевых фишинговых атаках, направленных на государственные учреждения Украины.

Группа, которая, по словам экспертов, активна по крайней мере с апреля 2021 года, неоднократно использовала специальные бэкдоры GraphSteel и GrimPlant в Для просмотра ссылки Войди или Зарегистрируйся . Отдельные вторжения также повлекли за собой доставку Для просмотра ссылки Войди или Зарегистрируйся Beacon для последующей эксплуатации.
 
Источник новости
www.securitylab.ru

Похожие темы