Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Группировка Nodaria использует новый инфостилер в атаках на госучреждения Украины (http://txgate.io:443/showthread.php?t=10620)

Artifact 05-03-2025 03:53 PM

Программа написана на Golang и является улучшенной версией бэкдоров группы.
https://www.securitylab.ru/upload/ib...l5wgn9qn82.jpg
Специалисты из ИБ-компании Symantec обнаружили, что группировка Nodaria использует новое вредоносное ПО для кражи данных в атаках на госучреждения Украины. Исследователи безопасности Symantec назвали вредоносное ПО Graphiron.
Согласно отчёту Symantec, вредоносное ПО написано на Golang и предназначено для сбора широкого спектра информации с зараженного компьютера, включая системную информацию, учетные данные, снимки экрана и файлы.
Graphiron представляет собой улучшенную версию бэкдора группы GraphSteel, в которой есть функции для запуска команд оболочки и сбора системной информации, файлов, учетных данных, снимков экрана и SSH-ключей. Самые ранние свидетельства использования Graphiron относятся к октябрю 2022 года, и он использовался в атаках как минимум до середины января 2023 года.
Кроме того, анализ цепочек заражения показывает наличие двух этапов: загрузчик (1 этап) при выполнении проверяет наличие определённых инструментов анализа вредоносных программ – если они не найдены, то он подключится к C2-серверу, загрузит и расшифрует полезную нагрузку Graphiron (2 этап), а затем добавит ее в автозапуск.
Полезная нагрузка способна выполнять следующие задачи:<ul><li>Извлекает имя хоста, информацию о системе и информацию о пользователе;</li>
</ul><ul><li>Крадет данные из Firefox и Thunderbird;</li>
</ul><ul><li>Похищает закрытые ключи от MobaXTerm;</li>
</ul><ul><li>Похищает известные хосты SSH;</li>
</ul><ul><li>Крадет данные из PuTTY;</li>
</ul><ul><li>Крадет сохраненные пароли;</li>
</ul><ol style="list-style-type: decimal"><li>Делает скриншоты;</li>
</ol><ol style="list-style-type: decimal"><li>Создает каталог;</li>
</ol><ul><li>Перечисляет каталог;</li>
</ul><ul><li>Запускает команду оболочки;</li>
</ul><ul><li>Похищает произвольные файлы.</li>
</ul>Группа Nodaria отслеживается Группой реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) как UAC-0056 и впервые была обнаружена в январе 2022 года. Тогда группировка использовала вредоносное ПО SaintBot и OutSteel в целевых фишинговых атаках, направленных на государственные учреждения Украины.
Группа, которая, по словам экспертов, активна по крайней мере с апреля 2021 года, неоднократно использовала специальные бэкдоры GraphSteel и GrimPlant в различных кампаниях . Отдельные вторжения также повлекли за собой доставку Cobalt Strike Beacon для последующей эксплуатации.


All times are GMT. The time now is 04:34 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.