Un acteur menaçant lié à la Russie a été observé en train de déployer un nouveau logiciel malveillant voleur d’informations dans des cyberattaques ciblant l’Ukraine.
Surnommé Graphiron par Symantec, propriété de Broadcom, le malware est l’œuvre d’un groupe d’espionnage connu sous le nom de Nodaria, qui est suivi par l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) sous le nom UAC-0056.
« Le logiciel malveillant est écrit en Go et est conçu pour collecter un large éventail d’informations à partir de l’ordinateur infecté, y compris des informations système, des informations d’identification, des captures d’écran et des fichiers », a déclaré l’équipe Symantec Threat Hunter dans un rapport partagé avec breachtrace.
Nodaria a été mis en lumière pour la première fois par le CERT-UA en janvier 2022, attirant l’attention sur l’utilisation par l’adversaire des logiciels malveillants SaintBot et OutSteel dans des attaques de harponnage ciblant des entités gouvernementales.
Le groupe, qui serait actif depuis au moins avril 2021, a depuis déployé à plusieurs reprises des portes dérobées personnalisées telles que GraphSteel et GrimPlant dans diverses campagnes depuis l’invasion militaire de l’Ukraine par la Russie. Certaines intrusions ont également entraîné la livraison de Cobalt Strike Beacon pour la post-exploitation.
Graphiron, le dernier programme ajouté à l’arsenal du groupe, est une version améliorée de GraphSteel, intégrant des fonctionnalités permettant d’exécuter des commandes shell et de collecter des informations système, des fichiers, des informations d’identification, des captures d’écran et des clés SSH.
Un autre aspect notable est que si GraphSteel et GrimPlant utilisaient la version 1.16 de Go, Graphiron s’appuie sur la version 1.18, qui a été officiellement livrée en mars 2022. Cela suggère également que Graphiron est un développement plus récent.
De plus, une analyse des chaînes d’infection révèle la présence de deux étapes, un téléchargeur qui est chargé de récupérer une charge utile cryptée contenant le malware Graphiron à partir d’un serveur distant.
Avec les dernières découvertes, Nodaria rejoint un autre groupe parrainé par l’État russe appelé Gamaredon pour cibler largement l’Ukraine.
« Alors que Nodaria était relativement inconnu avant l’invasion russe de l’Ukraine, l’activité de haut niveau du groupe au cours de l’année écoulée suggère qu’il est désormais l’un des acteurs clés des cybercampagnes en cours de la Russie contre l’Ukraine ».