新的 Graphiron 信息窃取器用于攻击乌克兰

Broadcom Symantec 的研究人员发现了一个与俄罗斯有联系的 ATP 组织，被追踪为 Nodaria（又名 UAC-0056），在针对乌克兰的攻击中部署了名为 Graphiron 的新信息窃取恶意软件。

Nodaria APT 组织至少从 2021 年 3 月开始活跃，尽管它参与了对吉尔吉斯斯坦和格鲁吉亚目标的攻击，但它的重点是乌克兰。

Graphiron 恶意软件允许操作员从受感染的系统中获取范围广泛的信息，包括系统信息、凭据、屏幕截图和文件。

该恶意代码使用 Go 编程语言编写，于 2022 年 10 月首次被发现，并至少从 2023 年 1 月中旬开始参与攻击。

Graphiron 包含两个阶段的组件：下载器 (Downloader.Graphiron) 和有效负载 (Infostealer.Graphiron)。

下载器包含硬编码的 C2 服务器地址。执行后，下载程序将通过检查正在运行的进程的特定名称（即 BurpSuite、WinDump、dumpcap 等）来检查恶意软件分析工具的黑名单。如果未发现任何列入黑名单的进程，它将连接到 C&C 服务器并在将其添加到自动运行之前下载和解密有效载荷。

专家指出，下载器只运行一次，如果失败将不再执行。

“Graphiron 使用带有硬编码密钥的 AES 加密。它创建具有“.lock”和“.trash”扩展名的临时文件。它使用旨在伪装成 Microsoft Office 可执行文件的硬编码文件名：OfficeTemplate.exe 和 MicrosoftOfficeDashboard.exe”

“有效载荷能够执行以下任务：

• 读取 MachineGuid
• 从https://checkip.amazonaws.com获取 IP 地址 
• 检索主机名、系统信息和用户信息
• 从 Firefox 和 Thunderbird 窃取数据
• 从 MobaXTerm 窃取私钥。
• 窃取 SSH 已知主机
• 从 PuTTY 窃取数据
• 窃取存储的密码
• 截图
• 创建一个目录
• 列出一个目录
• 运行 shell 命令
• 窃取任意文件

恶意代码使用 PowerShell 命令窃取受感染系统上的密码。

研究人员强调了 Graphiron 与 Nodaria 武器库中旧工具（例如 GraphSteel 和 GrimPlant）之间的相似之处。

网络间谍组织 Nodaria 与 2022 年 1 月针对乌克兰政府计算机和网站的WhisperGate 擦除器攻击有关。

APT 组织使用的攻击链通常以鱼叉式网络钓鱼消息开始，然后使用这些消息向受害者发送恶意负载。该小组使用的自定义工具列表包括：

• Elephant Dropper: A dropper
• Elephant Downloader: A downloader
• SaintBot: A downloader
• OutSteel: Information stealer
• GrimPlant (aka Elephant Implant): Collects system information and maintains persistence
• GraphSteel (aka Elephant Client): Information stealer

虽然在俄罗斯入侵乌克兰之前 Nodaria 相对不为人知，但该组织过去一年的高级别活动表明它现在是俄罗斯正在进行的针对乌克兰的网络攻击活动的主要参与者之一。” 赛门铁克得出结论。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4054.html