自俄罗斯军事入侵乌克兰以来，一个与俄罗斯有关联的黑客组织Nodaria（又名UAC-0056）对乌克兰发起了各种行动。最近，该组织开始在其攻击中部署一种新的信息窃取恶意软件，名为Graphiron。

恶意软件相关

赛门铁克的研究人员发现，该恶意软件的起源可以追溯到2022年10月，Nodaria使用该软件的频率较高。

此软件是使用Go版本1.18开发的，能够从受感染的计算机获取大量信息，包括系统信息、凭据、屏幕截图和文件，此版本是该集团自定义后门GraphSteel的改进版本。

它具有运行shell命令和获取系统信息、文件、凭据、屏幕截图和SSH密钥的附加功能。

此外，它使用端口443与C2服务器通信，并且使用AES密码对通信进行加密。

分析

感染链包括两个阶段，一个下载器（downloader.Graphiron）和一个有效负载（Infostealer.Graphilon）。

下载器负责从远程服务器检索包含Infostealer.Graphilon的加密有效载荷。

它将对对照恶意软件分析工具的黑名单进行检查，只运行一次而不进行任何进一步尝试。

有效载荷能够执行多项任务，包括检索主机名、系统信息和用户信息，以及从Firefox、Thunderbird和PuTTY中窃取存储的密码和数据。

Nodaria的军火库

Nodaria自2021 3月起就一直活跃，并参与了针对吉尔吉斯斯坦和格鲁吉亚的袭击。

该组织已知的工具有WhisperGate、Elephant Dropper和Downloader、SaintBot下载器、OutSteel信息窃取器、GrimPlant（又名Elephant Implant）和GraphSteel（又名Ele象客户端）信息窃取器。

Nodaria的许多早期工具都是用Go编写的，这也暗示这些工具可能是由同一开发人员编写的。

Nodaria曾经多次在针对乌克兰的网络攻击中部署自定义后门。尽管在俄罗斯入侵乌克兰之前，该组织相对不为人知，但其在过去一年中的高级活动以及Graphiron中添加的高级功能表明，该组织正在更新其武器库，以发动更多针对乌克兰的网络战。