Malware og informationsstjæler

Russiske hackere bruger ny Graphiron-informationsstjæler i Ukraine

Den russiske hackinggruppe kendt som ‘Nodaria’ (UAC-0056) bruger en ny informationsstjælende malware kaldet ‘Graphiron’ til at stjæle data fra ukrainske organisationer.

Den Go-baserede malware kan høste en bred vifte af oplysninger, herunder kontooplysninger, system- og appdata. Malwaren vil også fange skærmbilleder og exfiltrere filer fra kompromitterede maskiner.

Symantecs trusselsforskningsteam opdagede, at Nodaria har brugt Graphiron i angreb siden mindst oktober 2022 til midten af januar 2023.

Graphiron består af en downloader og en sekundær informationsstjælende nyttelast.

Når den startes, vil downloaderen kontrollere for forskellige sikkerhedssoftware og malware-analyseværktøjer, og hvis der ikke opdages nogen, skal du downloade den informationsstjælende komponent.

Nogle af de processer, downloaderen kontrollerer, inkluderer BurpSuite, Charles, Fiddler, rpcapd, smsniff, Wireshark, x96dbg, ollydbg og iDag.

Malwaren bruger navne som OfficeTemplate.exe og MicrosoftOfficeDashboard.exe til at maskere sig som en Microsoft Office-komponent på det brudte system.

Dens evner omfatter følgende:

  • Læs MachineGuid
  • Hent IP-adressen fra https://checkip.amazonaws.com
  • Hent værtsnavn, systemoplysninger og brugeroplysninger
  • Stjæl data fra Firefox og Thunderbird
  • Stjæl private nøgler fra MobaXTerm.
  • Stjæl SSH-kendte værter
  • Stjæl data fra PuTTY
  • Stjæl gemte adgangskoder
  • Tag skærmbilleder
  • Opret en mappe
  • Angiv en mappe
  • Kør en shell-kommando
  • Stjæl en vilkårlig fil

Malwaren bruger følgende PowerShell-kode til at stjæle adgangskoder fra Windows Vault, systemets indbyggede adgangskodeadministrator, hvor gemte legitimationsoplysninger gemmes i AES-256 krypteret form.

image-1-63
PowerShell-kode til at hente brugeradgangskoder (Symantec)

Graphiron bruger AES-kryptering med hardkodede nøgler til at kommunikere med C2-serveren via port 443, en bemærkelsesværdig lighed med ældre Nodaria-værktøjer som GraphSteal og GrimPlant.

Nodaria rettet mod Ukraine

Nodaria er den samme hacker, der implementerede en falsk ransomware ved navn WisperGate på ukrainske netværk i januar 2022 og udførte destruktive datasletningsangreb.

Typisk leverer russiske hackere deres nyttelast til mål via spear-phishing-e-mails, hvor den igangværende krig giver masser af muligheder for effektive lokkemad.

“Mens Nodaria var relativt ukendt før den russiske invasion af Ukraine, tyder gruppens aktivitet på højt niveau i løbet af det sidste år på, at den nu er en af nøgleaktørerne i Ruslands igangværende cyberkampagner mod Ukraine.”

Graphiron er den seneste tilføjelse til Nodarias arsenal, der kombinerer funktionerne i gruppens tidligere brugerdefinerede værktøjer i en nyttelast, mens den også indeholder tilsløring.

Dette er et tegn på, at Nodaria vil fortsætte med at målrette ukrainske organisationer og forsøge at indsamle værdifuld information fra højt profilerede mål.

Kilde: BleepingComputer

Foto: Pexels

Scroll to Top