'Nodaria' (UAC-0056) olarak bilinen Rus hack grubu, Ukrayna organizasyonlarından veri çalmak için 'Graphiron' adlı yeni bir bilgi çalma kötü amaçlı yazılımı kullanıyor.
GO tabanlı kötü amaçlı yazılım, hesap kimlik bilgileri, sistem ve uygulama verileri dahil olmak üzere çok çeşitli bilgileri toplayabilir. Kötü amaçlı yazılım ayrıca ekran görüntüleri yakalayacak ve ödün verilen makinelerden dosyaları dışarı atacaktır.
Symantec'in Tehdit Araştırma Ekibi, Nodaria'nın en az Ekim 2022'den beri Ocak ayı ortasından 2023 yılına kadar Saldırılarda Graphiron kullandığını keşfetti.
Graphiron bir indirici ve ikincil bilgi çalma yükünden oluşur.
Başlatıldığında, indirici çeşitli güvenlik yazılımlarını ve kötü amaçlı yazılım analiz araçlarını kontrol edecektir ve hiçbiri tespit edilmezse, bilgi çalma bileşenini indirir.
İndiricinin kontrol ettiği bazı süreçler arasında Burpsuite, Charles, Fiddler, RPCAPD, SMSNIFF, WIRESHARK, X96DBG, OLLYDBG ve IDAG bulunur.
Kötü amaçlı yazılım, Masquerade'e Masquerade için Micquerade için Miczerade gibi adları, ihlal edilen sistemde bir Microsoft Office bileşeni olarak kullanır.
Yetenekleri aşağıdakileri içerir:
Kötü amaçlı yazılım, sistemin yerleşik şifre yöneticisi olan Windows Vault'dan şifreleri çalmak için aşağıdaki PowerShell kodunu kullanır; burada kaydedilen kimlik bilgileri AES-256 şifreli formda saklanır.
Graphiron, Graphsteal ve Grimplant gibi eski nodaria araçlarına kayda değer bir benzerlik olan 443 numaralı bağlantı noktası aracılığıyla C2 sunucusuyla iletişim kurmak için sabit kodlu tuşlarla AES şifrelemesini kullanır.
Nodaria, Ocak 2022'de Ukrayna ağlarında 'Whispergate' adlı sahte bir fidye yazılımı uygulayan ve yıkıcı veri değiştirme saldırıları gerçekleştiren aynı tehdit oyuncusudur.
Tipik olarak, Rus hackerlar yüklerini mızrak aktı e-postaları aracılığıyla hedeflere teslim eder ve devam eden savaş etkili yemler için bolca fırsat sağlar.
Graphiron, grubun geçmiş özel araçlarının özelliklerini tek bir yükte birleştirirken, aynı zamanda şaşkınlık içeren Nodaria'nın Arsenal'in en son eklenmesidir.
Bu, Nodaria'nın yüksek profilli hedeflerden değerli bilgiler toplamaya çalışarak Ukrayna örgütlerini hedeflemeye devam edeceğinin bir işaretidir.
Yeni Koyu Pembe Apt Grubu Govt ve Orduyu Özel Kötü Yazılımlarla Hedefliyor
Kuzey Koreli bilgisayar korsanları iki aylık ihlalde araştırma verilerini çaldı
Yeni Boldmove Linux Kötü Yazılım Fortinet Cihazları Back Doldoor için Kullanılır
Kötü amaçlı "lolip0p" pypi paketleri Info-Renting kötü amaçlı yazılımları yükleyin
1.300'den fazla sahte anydesk sitesi Vidar Info-Ins-Relinger kötü amaçlı yazılımları itin
Kaynak: Bleeping Computer