Программа написана на Golang и является улучшенной версией бэкдоров группы.
Специалисты из ИБ-компании Symantec обнаружили, что группировка Nodaria использует новое вредоносное ПО для кражи данных в атаках на госучреждения Украины. Исследователи безопасности Symantec назвали вредоносное ПО Graphiron.
Согласно Для просмотра ссылки Войди
Graphiron представляет собой улучшенную версию бэкдора группы GraphSteel, в которой есть функции для запуска команд оболочки и сбора системной информации, файлов, учетных данных, снимков экрана и SSH-ключей. Самые ранние свидетельства использования Graphiron относятся к октябрю 2022 года, и он использовался в атаках как минимум до середины января 2023 года.
Кроме того, анализ цепочек заражения показывает наличие двух этапов: загрузчик (1 этап) при выполнении проверяет наличие определённых инструментов анализа вредоносных программ – если они не найдены, то он подключится к C2-серверу, загрузит и расшифрует полезную нагрузку Graphiron (2 этап), а затем добавит ее в автозапуск.
Полезная нагрузка способна выполнять следующие задачи:
- Извлекает имя хоста, информацию о системе и информацию о пользователе;
- Крадет данные из Firefox и Thunderbird;
- Похищает закрытые ключи от MobaXTerm;
- Похищает известные хосты SSH;
- Крадет данные из PuTTY;
- Крадет сохраненные пароли;
- Делает скриншоты;
- Создает каталог;
- Перечисляет каталог;
- Запускает команду оболочки;
- Похищает произвольные файлы.
Группа Nodaria отслеживается Группой реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) как Для просмотра ссылки Войди
Группа, которая, по словам экспертов, активна по крайней мере с апреля 2021 года, неоднократно использовала специальные бэкдоры GraphSteel и GrimPlant в Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru