Se ha observado a un actor de amenazas vinculado a Rusia desplegando un nuevo malware de robo de información en ataques cibernéticos dirigidos a Ucrania.
Doblado Graphiron por Symantec, propiedad de Broadcom, el malware es obra de un grupo de espionaje conocido como Nodaríaque es rastreado por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) como UAC-0056.
“El malware está escrito en Go y está diseñado para recopilar una amplia gama de información de la computadora infectada, incluida información del sistema, credenciales, capturas de pantalla y archivos”, dijo el equipo de Symantec Threat Hunter. dicho en un informe compartido con The Hacker News.
Nodaria era primer destacado por CERT-UA en enero de 2022, llamando la atención sobre el uso del adversario de Malware SaintBot y OutSteel en ataques de spear-phishing dirigidos a entidades gubernamentales.
El grupo, que se dice que está activo desde al menos abril de 2021, desde entonces repetidamente desplegada puertas traseras personalizadas como GraphSteel y GrimPlant en varias campañas desde la invasión militar de Rusia a Ucrania. Las intrusiones seleccionadas también han implicado la entrega de Baliza de ataque de cobalto para la post-explotación.
Graphiron, el último programa agregado al arsenal del grupo, es una versión mejorada de GraphSteel, que incluye funciones para ejecutar comandos de shell y recopilar información del sistema, archivos, credenciales, capturas de pantalla y claves SSH.
Otro aspecto notable es que mientras GraphSteel y GrimPlant utilizaron la versión 1.16 de Go, Graphiron se basa en la versión 1.18, que enviado oficialmente en marzo de 2022. Esto también sugiere que Graphiron es un desarrollo más reciente.
Además, un análisis de las cadenas de infección revela la presencia de dos etapas, un descargador que es responsable de recuperar una carga útil cifrada que contiene el malware Graphiron desde un servidor remoto.
Con los últimos hallazgos, Nodaria se une a otro grupo patrocinado por el estado ruso conocido como Gamaredon para señalar ampliamente a Ucrania.
“Si bien Nodaria era relativamente desconocido antes de la invasión rusa de Ucrania, la actividad de alto nivel del grupo durante el año pasado sugiere que ahora es uno de los actores clave en las campañas cibernéticas en curso de Rusia contra Ucrania”, dijo Symantec.
About the Author
