俄罗斯黑客使用石墨恶意软件从乌克兰窃取数据

据观察，一名与俄罗斯有关的威胁行为者在针对乌克兰的网络攻击中部署了一种新的信息窃取恶意软件。该恶意软件被博通拥有的赛门铁克称为Graphiron，是一个名为Nodaria的间谍组织的杰作，该组织被乌克兰计算机应急响应小组（CERT-UA）跟踪为UAC-0056。

赛门铁克威胁猎人团队在与黑客新闻共享的一份报告中表示，“该恶意软件是用Go编写的，旨在从受感染的计算机中收集广泛的信息，包括系统信息，凭据，屏幕截图和文件。”

CERT-UA 于 2022 年 <> 月首次关注 Nodaria，呼吁人们注意对手在针对政府实体的鱼叉式网络钓鱼攻击中使用 SaintBot 和 OutSteel 恶意软件。

据说该组织至少从 2021 年 <> 月开始活跃，自俄罗斯军事入侵乌克兰以来，该组织在各种活动中反复部署了 GraphSteel 和 GrimPlant 等定制后门。选定的入侵还需要交付钴打击信标以供开采后使用。

Graphiron是该组织武器库中的最新程序，是GraphSteel的改进版本，包含运行shell命令和收集系统信息，文件，凭据，屏幕截图和SSH密钥的功能。另一个值得注意的方面是，虽然 GraphSteel 和 GrimPlant 使用了 Go 版本 1.16，但 Graphiron 依赖于 1 年 18 月正式发布的 2022.<> 版本。这也表明Graphiron是最近的发展。

此外，对感染链的分析揭示了两个阶段的存在，一个负责从远程服务器检索包含Graphiron恶意软件的加密有效载荷的下载器。

根据最新调查结果，诺达里亚加入了另一个俄罗斯国家赞助的称为Gamaredon的组织，广泛挑出乌克兰。

赛门铁克说：“虽然诺达里亚在俄罗斯入侵乌克兰之前相对不为人知，但该组织过去一年的高层活动表明，它现在是俄罗斯正在进行的针对乌克兰的网络运动的关键参与者之一。

原文始发于微信公众号（黑猫安全）：俄罗斯黑客使用石墨恶意软件从乌克兰窃取数据