Un acteur menaçant lié à la Russie a été observé en train de déployer un nouveau logiciel malveillant voleur d’informations dans des cyberattaques ciblant l’Ukraine.
Doublé Graphiron par Symantec, propriété de Broadcom, le logiciel malveillant est l’œuvre d’un groupe d’espionnage connu sous le nom de Nodariaqui est suivi par l’équipe ukrainienne d’intervention d’urgence informatique (CERT-UA) sous le numéro UAC-0056.
« Le logiciel malveillant est écrit en Go et est conçu pour collecter un large éventail d’informations à partir de l’ordinateur infecté, y compris des informations système, des informations d’identification, des captures d’écran et des fichiers », a déclaré l’équipe Symantec Threat Hunter. a dit dans un rapport partagé avec The Hacker News.
Nodaria était mis en lumière pour la première fois par le CERT-UA en janvier 2022, attirant l’attention sur l’utilisation par l’adversaire de Logiciels malveillants SaintBot et OutSteel dans des attaques de harponnage ciblant des entités gouvernementales.
Le groupe, qui serait actif depuis au moins avril 2021, a depuis à plusieurs reprises déployé portes dérobées personnalisées telles que GraphSteel et GrimPlant dans diverses campagnes depuis l’invasion militaire de l’Ukraine par la Russie. Certaines intrusions ont également entraîné la livraison de Balise de frappe cobalt pour la post-exploitation.
Graphiron, le dernier programme ajouté à l’arsenal du groupe, est une version améliorée de GraphSteel, intégrant des fonctionnalités permettant d’exécuter des commandes shell et de collecter des informations système, des fichiers, des informations d’identification, des captures d’écran et des clés SSH.
Un autre aspect notable est que si GraphSteel et GrimPlant utilisaient la version 1.16 de Go, Graphiron s’appuie sur la version 1.18, qui officiellement expédié en mars 2022. Cela suggère également que Graphiron est un développement plus récent.
De plus, une analyse des chaînes d’infection révèle la présence de deux étapes, un téléchargeur qui est chargé de récupérer une charge utile cryptée contenant le malware Graphiron à partir d’un serveur distant.
Avec les dernières découvertes, Nodaria rejoint un autre groupe parrainé par l’État russe appelé Gamaredon pour cibler largement l’Ukraine.
« Alors que Nodaria était relativement inconnu avant l’invasion russe de l’Ukraine, l’activité de haut niveau du groupe au cours de l’année écoulée suggère qu’il est désormais l’un des acteurs clés des cybercampagnes en cours de la Russie contre l’Ukraine », a déclaré Symantec.
