Російські хакери використовують в Україні новий викрадач інформації Graphiron

Російська хакерська група, відома як «Нодарія» (UAC-0056), використовує нову шкідливу програму для крадіжки інформації «Graphiron» для крадіжки даних українських організацій. Зловмисне програмне забезпечення на основі Go може збирати широкий діапазон інформації, включаючи облікові дані облікового запису, дані системи та програм. Зловмисне програмне забезпечення також буде робити знімки екрана та вилучати файли зі зламаних машин. Команда дослідження загроз Symantec виявила, що Nodaria використовувала Graphiron для атак принаймні з жовтня 2022 року до середини січня 2023 року.

Викрадення конфіденційної інформації

Graphiron складається із завантажувача та додаткового корисного навантаження для крадіжки інформації.  Після запуску завантажувач перевірить наявність різноманітного програмного забезпечення безпеки та інструментів аналізу зловмисного ПЗ, і, якщо їх не виявлено, завантажить компонент, що викрадає інформацію. Деякі з процесів, які перевіряє завантажувач, включають BurpSuite, Charles, Fiddler, rpcapd, smsniff, Wireshark, x96dbg, ollydbg та idag.

Зловмисне програмне забезпечення використовує такі імена, як OfficeTemplate.exe та MicrosoftOfficeDashboard.exe, щоб маскуватися під компонент Microsoft Office у зламаній системі.

Його можливості включають наступне:

• Прочитайте MachineGuid
• Отримайте IP-адресу з https://checkip.amazonaws.com
• Отримати ім’я хоста, інформацію про систему та інформацію про користувача
• Крадіть дані з Firefox і Thunderbird
• Викрасти приватні ключі з MobaXTerm.
• Викрасти відомі хости SSH
• Викрасти дані з PuTTY
• Викрасти збережені паролі
• Робіть скріншоти
• Створіть каталог
• Список каталогу
• Виконайте команду оболонки
• Викрасти довільний файл

Зловмисне програмне забезпечення використовує наведений нижче код PowerShell, щоб викрасти паролі зі сховища Windows, вбудованого в систему менеджера паролів, де збережені облікові дані зберігаються в зашифрованому вигляді AES-256.

Graphiron використовує шифрування AES із жорстко закодованими ключами для зв’язку із сервером C2 через порт 443, що заслуговує на увагу подібності до старих інструментів Nodaria, таких як GraphSteal і GrimPlant.

Нодарія націлена на Україну

Nodaria є тим самим загрозником, який розгорнув підроблене програмне забезпечення-вимагач під назвою «WhisperGate» в українських мережах у січні 2022 року, виконуючи деструктивні атаки знищення даних. Як правило, російські хакери доставляють свою корисну інформацію цілям за допомогою фішингових електронних листів, а війна, що триває, дає багато можливостей для ефективних приманок.