‘Nodaria’ (UAC-0056) olarak bilinen Rus bilgisayar korsanlığı grubu, Ukrayna kuruluşlarından veri çalmak için ‘Graphiron’ adlı yeni bir bilgi çalan kötü amaçlı yazılım kullanıyor.
Go tabanlı kötü amaçlı yazılım, hesap kimlik bilgileri, sistem ve uygulama verileri dahil olmak üzere çok çeşitli bilgileri toplayabilir. Kötü amaçlı yazılım ayrıca ekran görüntülerini yakalayacak ve güvenliği ihlal edilmiş makinelerden dosyalara sızacaktır.
Symantec’in tehdit araştırma ekibi, Nodaria’nın en az Ekim 2022’den Ocak 2023 ortasına kadar saldırılarda Graphiron kullandığını keşfetti.
Hassas bilgileri çalmak
Graphiron, bir indirici ve ikincil bir bilgi çalma yükünden oluşur.
İndirici başlatıldığında, çeşitli güvenlik yazılımlarını ve kötü amaçlı yazılım analiz araçlarını kontrol edecek ve hiçbiri algılanmazsa bilgi çalma bileşenini indirecektir.
İndiricinin kontrol ettiği işlemlerden bazıları BurpSuite, Charles, Fiddler, rpcapd, smsniff, Wireshark, x96dbg, ollydbg ve idag’dır.
Kötü amaçlı yazılım, ihlal edilen sistemde bir Microsoft Office bileşeni gibi görünmek için OfficeTemplate.exe ve MicrosoftOfficeDashboard.exe gibi adları kullanır.
Yetenekleri aşağıdakileri içerir:
- MachineGuid’i okuyun
- IP adresini https://checkip.amazonaws.com adresinden edinin.
- Ana bilgisayar adını, sistem bilgilerini ve kullanıcı bilgilerini alın
- Firefox ve Thunderbird’den veri çalma
- MobaXTerm’den özel anahtarları çalın.
- SSH bilinen ana bilgisayarları çalın
- PuTTY’den veri çalma
- Saklanan şifreleri çalmak
- Ekran görüntüsü al
- Bir dizin oluştur
- Bir dizini listele
- Bir kabuk komutu çalıştırın
- Rastgele bir dosya çalma
Kötü amaçlı yazılım, kaydedilen kimlik bilgilerinin AES-256 şifreli biçimde depolandığı, sistemin yerleşik parola yöneticisi olan Windows Kasası’ndan parolaları çalmak için aşağıdaki PowerShell kodunu kullanır.
Graphiron, GraphSteal ve GrimPlant gibi eski Nodaria araçlarıyla dikkate değer bir benzerlik olan 443 numaralı bağlantı noktası üzerinden C2 sunucusuyla iletişim kurmak için sabit kodlanmış anahtarlarla AES şifrelemesi kullanır.
Nodaria Ukrayna’yı hedef alıyor
Nodaria, Ocak 2022’de Ukrayna ağlarına ‘WhisperGate’ adlı sahte bir fidye yazılımı yerleştirerek yıkıcı veri silme saldırıları gerçekleştiren aynı tehdit aktörüdür.
Tipik olarak, Rus bilgisayar korsanları, yüklerini hedef odaklı kimlik avı e-postaları yoluyla hedeflere teslim ediyor ve devam eden savaş, etkili yemler için pek çok fırsat sunuyor.
Nodaria’nın cephaneliğine en son eklenen Graphiron, grubun geçmişteki özel araçlarının özelliklerini tek bir yükte birleştirirken aynı zamanda karartma özelliğine de sahip.
Bu, Nodaria’nın yüksek profilli hedeflerden değerli bilgiler toplamaya çalışan Ukraynalı kuruluşları hedef almaya devam edeceğinin bir işaretidir.