Rusya bağlantılı bir tehdit aktörünün, Ukrayna’yı hedef alan siber saldırılarda bilgi çalan yeni bir kötü amaçlı yazılım kullandığı gözlemlendi.
dublajlı Graphiron Broadcom’a ait Symantec tarafından geliştirilen kötü amaçlı yazılım, Broadcom olarak bilinen bir casusluk grubunun eseridir. NodaryaUkrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) tarafından UAC-0056 olarak takip edilmektedir.
The Hacker News ile paylaşılan bir raporda Symantec Tehdit Avcısı Ekibi, “Kötü amaçlı yazılım Go’da yazılmıştır ve virüs bulaşmış bilgisayardan sistem bilgileri, kimlik bilgileri, ekran görüntüleri ve dosyalar dahil olmak üzere çok çeşitli bilgileri toplamak için tasarlanmıştır.”
Nodaria ilk olarak Ocak 2022’de CERT-UA tarafından dikkatleri üzerine çekerek, rakibin devlet kurumlarını hedef alan hedefli kimlik avı saldırılarında SaintBot ve OutSteel kötü amaçlı yazılımlarını kullandığına dikkat çekti.
En az Nisan 2021’den beri aktif olduğu söylenen grup, o zamandan beri Rusya’nın Ukrayna’yı askeri işgalinden bu yana çeşitli kampanyalarda GraphSteel ve GrimPlant gibi özel arka kapılar konuşlandırdı. Belirli izinsiz girişler ayrıca, sömürü sonrası için Cobalt Strike Beacon’un teslim edilmesini gerektirmiştir.
Grubun cephaneliğine eklenen en son program olan Graphiron, kabuk komutlarını çalıştırmak ve sistem bilgilerini, dosyaları, kimlik bilgilerini, ekran görüntülerini ve SSH anahtarlarını toplamak için özellikler içeren, GraphSteel’in geliştirilmiş bir sürümüdür.
Bir diğer dikkate değer husus ise, GraphSteel ve GrimPlant Go sürüm 1.16’yı kullanırken Graphiron, resmi olarak Mart 2022’de piyasaya sürülen sürüm 1.18’i kullanıyor. Bu da Graphiron’un daha yeni bir gelişme olduğunu gösteriyor.
Ayrıca, bulaşma zincirlerinin analizi, Graphiron kötü amaçlı yazılımını içeren şifrelenmiş bir yükü uzak bir sunucudan almaktan sorumlu olan bir indirici olmak üzere iki aşamanın varlığını ortaya koyuyor.
En son bulgularla birlikte Nodaria, Ukrayna’yı kapsamlı bir şekilde elemede Gamaredon adlı Rus devlet destekli başka bir gruba katılıyor.
Symantec, “Nodaria, Rusya’nın Ukrayna’yı işgalinden önce görece bilinmezken, grubun geçen yılki üst düzey faaliyetleri, şu anda Rusya’nın Ukrayna’ya karşı devam eden siber harekâtında kilit oyunculardan biri olduğunu gösteriyor” dedi.