Rusya bağlantılı bir tehdit aktörünün, Ukrayna’yı hedef alan siber saldırılarda bilgi çalan yeni bir kötü amaçlı yazılım kullandığı gözlemlendi.
dublajlı Graphiron Broadcom’a ait Symantec tarafından geliştirilen kötü amaçlı yazılım, Broadcom olarak bilinen bir casusluk grubunun eseridir. NodaryaUkrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından UAC-0056 olarak takip edilmektedir.
Symantec Tehdit Avcısı Ekibi, “Kötü amaçlı yazılım Go’da yazılmıştır ve virüs bulaşmış bilgisayardan sistem bilgileri, kimlik bilgileri, ekran görüntüleri ve dosyalar dahil olmak üzere çok çeşitli bilgileri toplamak için tasarlanmıştır.” söz konusu The Hacker News ile paylaşılan bir raporda.
Nodaria’ydı ilk göze çarpan Ocak 2022’de CERT-UA tarafından, düşmanın SaintBot ve OutSteel kötü amaçlı yazılımı devlet kurumlarını hedef alan mızraklı kimlik avı saldırılarında.
En az Nisan 2021’den beri aktif olduğu söylenen grup, defalarca konuşlandırılmış gibi özel arka kapılar GraphSteel ve GrimPlant Rusya’nın Ukrayna’yı askeri işgalinin ardından çeşitli kampanyalarda. Seçilmiş izinsiz girişler aynı zamanda Kobalt Saldırı İşareti kullanım sonrası için.
Grubun cephaneliğine eklenen en son program olan Graphiron, kabuk komutlarını çalıştırmak ve sistem bilgilerini, dosyaları, kimlik bilgilerini, ekran görüntülerini ve SSH anahtarlarını toplamak için özellikler içeren GraphSteel’in geliştirilmiş bir sürümüdür.
Diğer bir dikkate değer husus ise, GraphSteel ve GrimPlant Go sürüm 1.16’yı kullanırken, Graphiron sürüm 1.18’i kullanıyor. resmi olarak gönderildi Mart 2022’de. Bu aynı zamanda Graphiron’un daha yeni bir gelişme olduğunu gösteriyor.
Graphiron’un kullanımına dair en eski kanıtlar Ekim 2022’ye kadar uzanıyor ve en az Ocak 2023 ortasına kadar saldırılarda kullanıldı.
Ayrıca, bulaşma zincirlerinin analizi, iki aşamanın varlığını ortaya koyuyor; Graphiron kötü amaçlı yazılımını içeren şifreli bir yükü uzak bir sunucudan almaktan sorumlu olan bir indirici.
En son bulgularla birlikte Nodaria, Ukrayna’yı kapsamlı bir şekilde ele almada Gamaredon olarak adlandırılan Rus devlet destekli başka bir gruba katılıyor.
Symantec, “Nodaria, Rusya’nın Ukrayna’yı işgalinden önce görece bilinmezken, grubun geçen yılki üst düzey faaliyetleri, şu anda Rusya’nın Ukrayna’ya karşı devam eden siber harekâtında kilit oyunculardan biri olduğunu gösteriyor” dedi.