Foi observado um actor de ameaça ligado à Rússia a utilizar um novo malware de roubo de informação em ataques cibernéticos contra a Ucrânia.
Ditado Graphiron pela Symantec, propriedade da Broadcom, o malware é o trabalho manual de um grupo de espionagem conhecido como Nodariaque é seguido pela Equipa de Resposta de Emergência Informática da Ucrânia (CERT-UA) como UAC-0056.
“O malware está escrito em Go e foi concebido para recolher uma vasta gama de informações do computador infectado, incluindo informações do sistema, credenciais, capturas de ecrã e ficheiros”, a Equipa de Caçadores de Ameaças Symantec disse num relatório partilhado com The Hacker News.
Nodaria era primeira vista por CERT-UA em Janeiro de 2022, chamando a atenção para a utilização pelo adversário de SaintBot e OutSteel malware em ataques de pesca com lanças, visando entidades governamentais.
O grupo, que se diz estar activo desde, pelo menos, Abril de 2021, tem, desde repetidamente destacados backdoors personalizados, tais como GraphSteel e GrimPlant em várias campanhas desde a invasão militar russa da Ucrânia. Intrusões seleccionadas implicaram também a entrega de Farol de ataque ao cobalto para pós-exploração.
Graphiron, o mais recente programa adicionado ao arsenal do grupo, é uma versão melhorada do GraphSteel, empacotando em funcionalidades para executar comandos shell e recolher informação do sistema, ficheiros, credenciais, capturas de ecrã, e chaves SSH.
Outro aspecto notável é que enquanto GraphSteel e GrimPlant fizeram uso da versão 1.16 da Go, Graphiron confia na versão 1.18, que enviado oficialmente em Março de 2022. Isto também sugere que o Graphiron é um desenvolvimento mais recente.
Além disso, uma análise das cadeias de infecção revela a presença de duas fases, um descarregador que é responsável pela recuperação de uma carga útil encriptada contendo o malware Graphiron a partir de um servidor remoto.
Com as últimas descobertas, Nodaria junta-se a outro grupo estatal russo referido como Gamaredon, na Ucrânia, que se destaca amplamente.
“Enquanto Nodaria era relativamente desconhecida antes da invasão russa da Ucrânia, a actividade de alto nível do grupo durante o ano passado sugere que é agora um dos principais actores nas campanhas cibernéticas em curso na Rússia contra a Ucrânia”, disse Symantec.