Un attore minaccioso legato alla Russia è stato osservato nell’utilizzo di un nuovo malware per rubare informazioni nelle attacchi informatici contro l’Ucraina. Battezzato Graphiron da Symantec, posseduta da Broadcom, il malware è opera di un gruppo di spionaggio conosciuto come Nodaria, che è tracciato dal Computer Emergency Response Team dell’Ucraina (CERT-UA) come UAC-0056. Il malware è scritto in Go e progettato per raccogliere una vasta gamma di informazioni dal computer infetto, comprese informazioni sul sistema, credenziali, screenshot e file. Nodaria è stato evidenziato per la prima volta da CERT-UA a gennaio 2022, mettendo in luce l’utilizzo dei malware SaintBot e OutSteel negli attacchi di spear-phishing contro le entità governative. Il gruppo, attivo almeno daprile 2021, ha ripetutamente impiegato backdoor personalizzati come GraphSteel e GrimPlant in diverse campagne in seguito all’invasione militare della Russia in Ucraina. Alcune intrusioni hanno anche comportato la consegna di Cobalt Strike Beacon per la post-esplorazione.
Graphiron, il programma più recente aggiunto all’arsenale del gruppo, è una versione migliorata di GraphSteel, che include funzionalità per eseguire comandi shell e raccogliere informazioni sul sistema, file, credenziali, screenshot e chiavi SSH. Un altro aspetto degno di nota è che mentre GraphSteel e GrimPlant hanno fatto uso di Go versione 1.16, Graphiron si basa sulla versione 1.18, che è stata ufficialmente spedita a marzo 2022. Ciò suggerisce anche che Graphiron è uno sviluppo più recente. Le prime prove dell’utilizzo di Graphiron risalgono a ottobre 2022 e sono state impiegate in attacchi fino almeno a metà gennaio 2023. Inoltre, un’analisi delle catene di infezione rivela la presenza di due fasi, un downloader responsabile per il recupero di un payload crittografato che contiene il malware Graphiron da un server remoto. Con gli ultimi risultati, Nodaria si unisce ad un altro gruppo sponsorizzato dallo stato russo noto come Gamaredon che si concentra esclusivamente sull’Ucraina. Symantec ha affermato: “Sebbene Nodaria fosse relativamente sconosciuta prima dell’invasione russa in Ucraina, l’alta attività del gruppo negli ultimi anni suggerisce che sia ora uno dei principali attori nei continui campagne informatiche della Russia contro l’Ucraina”.
