Ruskí hackeri používajú nový malvér na kradnutie údajov
Proruskí hackeri zo skupiny Nodaria vyvinuli nový malware Graphiron, pomocou ktorého kradnú dáta z počítačov. Útočia najmä na Ukrajincov, no v hľadáčiku majú aj členské krajiny NATO.
Nie je žiadnym tajomstvom, že vojna u nášho východného suseda sa nesie aj v kybernetickom priestore. Nedávno ESET odhalil niekoľko kybernetických hrozieb zo strany proruských hackerov, no zdá sa, že nejde o jediné útoky. Bezpečnostní experti z Threat Hunter identifikovali ďalšie kybernetické útoky, za ktorými stoja hackeri zo skupiny Nodaria (alebo UAC-0056). Pre tých, ktorí nevedia, tak ide o prokremeľsky orientovanú skupina útočníkov.
Skupina Nodaria, ktorej prepojenie na Rusku bolo už v minulosti známe, nedávno nasadila novú hrozbu s názvom Infostealer.Graphiron. Cieľom útokov je hlavne ukrajinská IT infraštruktúra. No hackeri útočia aj na krajiny NATO. Tento malware je navrhnutý na krádež širokej škály informácií z infikovaných počítačov vrátane systémových informácií, poverení či snímok obrazovky a ďalších súborov. Pozostáva z dvoch častí. Prvým je „sťahovač“ (Downloader.Graphiron), ktorý sťahuje do zariadenia škodlivý kód, a druhá časť je Infostealer.Graphiron, ktorá dáta kradne a posiela ďalej.
Russia-linked Nodaria group is using a new piece of information stealing malware against targets in Ukraine. https://t.co/onsekchp5w @symantec
— 780th Military Intelligence Brigade (Cyber) (@780thC) February 8, 2023
Útoky prebiehajú už niekolko mesiacov
Analytikom sa podarilo prvú aktivitu hackerov identifikovať ešte v októbri minulého roka, no aktívni sú dodnes. V súčasnosti Nodaria používa na infikovanie cieľov spear-phishingové emaily, ktoré obsahujú rôzne typy škodlivých kódov. Medzi špeciálne nástroje, ktoré skupina používa, patrí napríklad dropper s názvom Elephant Dropper alebo downloader s názvom Elephant Downloader.
Škodlivý kód funguje pomerne sofistikovane. Potom, ako sa dostane do zariadenia, tak najprv preverí, či používateľ má v počítači nainštalovaný softvér, ktorý dokáže malware identifikovať. Ak sa nenájdu žiadne hrozby pre malware, tak sa pripojí k serveru, odkiaľ stiahne ďalší kód do zariadenia obete. Potom začne v počítači robiť problémy. Zaujímavosťou tohto škodlivého kódu je i to, že downloader je nakonfigurovaný tak, aby sa spustil iba raz. Ak sa mu nepodarí stiahnuť a nainštalovať vírus, nevykoná už ďalšie pokusy.
Neprehliadnite
Graphiron zároveň dokáže šifrovať aj súbory v zariadení obete. Následne z nich vytvára dočasné súbory s príponami „.lock“ a „.trash“. Tieto súbory zároveň maskuje ako spustiteľné súbory pre Microsoft Office.
„Kým Nodaria bola pred ruskou inváziou na Ukrajinu relatívne neznáma, vysoká aktivita skupiny za posledný rok naznačuje, že je teraz jedným z kľúčových hráčov v prebiehajúcich kybernetických kampaniach Ruska proti Ukrajine.“, hovoria bezpečnostní experti.
Nový malware je sofistikovanejší ako predošlé vírusy skupiny
Graphiron má viacero podobností s predošlými verziami škodlivých kódov Nodarie. Ide napríklad o malware ako je GraphSteel a GrimPlant. No je tam jeden podstatný rozdiel. Graphiron je oveľa agresívnejší a dokáže preniknúť hlbšie do zariadenia. Zároveň treba povedať, že je schopný aktívne komunikovať so vzdialeným serverom útočníka.
„Informácie získane touto kampaňou môžu byť užitočne z hľadiska spravodajských informácií.“, hovoria experti.
Komentáre