Apt Nodaria usa malware Graphiron per rubare informazioni in Ucraina

da Livio Varriale
0 commenti 2 minuti leggi

Un attore minaccioso legato alla Russia ĆØ stato osservato nellā€™utilizzo di un nuovo malware per rubare informazioni nelle attacchi informatici contro lā€™Ucraina. Battezzato Graphiron da Symantec, posseduta da Broadcom, il malware ĆØ opera di un gruppo di spionaggio conosciuto come Nodaria, che ĆØ tracciato dal Computer Emergency Response Team dellā€™Ucraina (CERT-UA) come UAC-0056. Il malware ĆØ scritto in Go e progettato per raccogliere una vasta gamma di informazioni dal computer infetto, comprese informazioni sul sistema, credenziali, screenshot e file. Nodaria ĆØ stato evidenziato per la prima volta da CERT-UA a gennaio 2022, mettendo in luce lā€™utilizzo dei malware SaintBot e OutSteel negli attacchi di spear-phishing contro le entitĆ  governative. Il gruppo, attivo almeno daprile 2021, ha ripetutamente impiegato backdoor personalizzati come GraphSteel e GrimPlant in diverse campagne in seguito allā€™invasione militare della Russia in Ucraina. Alcune intrusioni hanno anche comportato la consegna di Cobalt Strike Beacon per la post-esplorazione.

Annunci

Graphiron, il programma piĆ¹ recente aggiunto allā€™arsenale del gruppo, ĆØ una versione migliorata di GraphSteel, che include funzionalitĆ  per eseguire comandi shell e raccogliere informazioni sul sistema, file, credenziali, screenshot e chiavi SSH. Un altro aspetto degno di nota ĆØ che mentre GraphSteel e GrimPlant hanno fatto uso di Go versione 1.16, Graphiron si basa sulla versione 1.18, che ĆØ stata ufficialmente spedita a marzo 2022. CiĆ² suggerisce anche che Graphiron ĆØ uno sviluppo piĆ¹ recente. Le prime prove dellā€™utilizzo di Graphiron risalgono a ottobre 2022 e sono state impiegate in attacchi fino almeno a metĆ  gennaio 2023. Inoltre, unā€™analisi delle catene di infezione rivela la presenza di due fasi, un downloader responsabile per il recupero di un payload crittografato che contiene il malware Graphiron da un server remoto. Con gli ultimi risultati, Nodaria si unisce ad un altro gruppo sponsorizzato dallo stato russo noto come Gamaredon che si concentra esclusivamente sullā€™Ucraina. Symantec ha affermato: ā€œSebbene Nodaria fosse relativamente sconosciuta prima dellā€™invasione russa in Ucraina, lā€™alta attivitĆ  del gruppo negli ultimi anni suggerisce che sia ora uno dei principali attori nei continui campagne informatiche della Russia contro lā€™Ucrainaā€.

Si puĆ² anche come

MatriceDigitale.it – Copyright Ā© 2024, Livio Varriale – Registrazione Tribunale di Napoli nĀ° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love byĀ Giuseppe Ferrara