Ein mit Russland verbundener Bedrohungsakteur wurde dabei beobachtet, wie er bei Cyberangriffen auf die Ukraine eine neue Malware einsetzt, die Informationen stiehlt.
Die von Symantec, einer Tochtergesellschaft von Broadcom, als Graphiron bezeichnete Malware ist das Werk einer als Nodaria bekannten Spionagegruppe, die vom Computer Emergency Response Team of Ukraine (CERT-UA) unter der Bezeichnung UAC-0056 geführt wird.
„Die Malware ist in der Programmiersprache Go geschrieben und darauf ausgelegt, eine Vielzahl von Informationen von dem infizierten Computer zu sammeln, darunter Systeminformationen, Anmeldedaten, Screenshots und Dateien“, so das Symantec Threat Hunter Team in einem Bericht, der The Hacker News vorliegt.
Nodaria wurde erstmals im Januar 2022 vom CERT-UA entdeckt, das auf die Verwendung von SaintBot- und OutSteel-Malware bei Spearphishing-Angriffen auf Regierungsstellen aufmerksam machte.
Die Gruppe, die mindestens seit April 2021 aktiv sein soll, hat seit Russlands militärischer Invasion in der Ukraine in verschiedenen Kampagnen immer wieder maßgeschneiderte Backdoors wie GraphSteel und GrimPlant eingesetzt. Bei ausgewählten Angriffen wurde auch Cobalt Strike Beacon zur Nachnutzung eingesetzt.
Graphiron, das neueste Programm im Arsenal der Gruppe, ist eine verbesserte Version von GraphSteel, die Funktionen zum Ausführen von Shell-Befehlen und zum Abgreifen von Systeminformationen, Dateien, Anmeldedaten, Screenshots und SSH-Schlüsseln enthält.
Ein weiterer bemerkenswerter Aspekt ist, dass GraphSteel und GrimPlant die Go-Version 1.16 nutzten, während Graphiron auf die Version 1.18 setzt, die offiziell im März 2022 veröffentlicht wurde. Das deutet ebenfalls darauf hin, dass Graphiron eine neuere Entwicklung ist.
Die Analyse der Infektionsketten zeigt außerdem, dass es zwei Stufen gibt: einen Downloader, der eine verschlüsselte Nutzlast mit der Graphiron-Malware von einem entfernten Server abruft.
Mit den neuesten Erkenntnissen schließt sich Nodaria einer anderen vom russischen Staat gesponserten Gruppe namens Gamaredon an, die die Ukraine ausgiebig ins Visier genommen hat.
„Während Nodaria vor der russischen Invasion in der Ukraine relativ unbekannt war, deuten die hochrangigen Aktivitäten der Gruppe im letzten Jahr darauf hin, dass sie nun einer der Hauptakteure in Russlands laufenden Cyberkampagnen gegen die Ukraine ist“, so Symantec.