Cyberthreat.id – Tim riset ancaman Symantec mengungkapkan bahwa grup peretas Rusia yang dikenal sebagai ‘Nodaria’ (UAC-0056) menggunakan malware pencuri informasi baru yang disebut ‘Graphiron’ untuk mencuri data dari organisasi Ukraina.
Dikutip dari Bleeping Computer, peneliti menemukan bahwa Nodaria telah menggunakan Graphiron dalam serangan setidaknya sejak Oktober 2022 hingga pertengahan Januari 2023.
Graphiron merupakan malware berbasis Go yang dapat memanen berbagai informasi, termasuk kredensial akun, sistem, dan data aplikasi. Malware ini juga akan menangkap tangkapan layar dan mengekstrak file dari mesin yang disusupi.
“Graphiron terdiri dari pengunduh dan muatan pencuri informasi sekunder,” kata Symantec.
Saat diluncurkan, pengunduh akan memeriksa berbagai perangkat lunak keamanan dan alat analisis malware, dan jika tidak ada yang terdeteksi, unduh komponen pencuri informasi. Beberapa proses yang diperiksa pengunduh termasuk BurpSuite, Charles, Fiddler, rpcapd, smsniff, Wireshark, x96dbg, ollydbg, dan idag.
Malware ini biasanya menggunakan nama seperti OfficeTemplate.exe dan MicrosoftOfficeDashboard.exe untuk menyamar sebagai komponen Microsoft Office pada sistem yang dilanggar.
Menurut peneliti malware ini memiliki beberapa kemampuan seperti mengambil nama host, info sistem, dan info pengguna, mencuri data dari Firefox dan Thunderbird, mencuri SSH host yang dikenal, mencuri data dari Putty, dan mencuri kata sandi yang disimpan. Termasuk mengambil tangkapan layar, membuat daftar direktori, dan menjalankan perintah shell.
Graphiron menggunakan enkripsi AES dengan kunci hardcode untuk berkomunikasi dengan server C2 melalui port 443, kesamaan yang patut diperhatikan dengan alat Nodaria yang lebih lama seperti GraphSteal dan GrimPlant.
Nodaria adalah aktor ancaman yang sama yang menyebarkan ransomware palsu bernama ‘WhisperGate’ di jaringan Ukraina pada Januari 2022, melakukan serangan penghapusan data yang merusak. Biasanya, peretas Rusia mengirimkan muatan mereka ke target melalui email spear-phishing, dengan perang yang sedang berlangsung memberikan banyak peluang untuk mendapatkan umpan yang efektif.
“Sementara Nodaria relatif tidak dikenal sebelum invasi Rusia ke Ukraina, aktivitas tingkat tinggi kelompok tersebut selama setahun terakhir menunjukkan bahwa mereka sekarang menjadi salah satu pemain kunci dalam kampanye siber Rusia,” kata Symantec.
Graphiron adalah tambahan terbaru untuk gudang senjata Nodaria, menggabungkan fitur alat kustom grup sebelumnya menjadi satu muatan sekaligus menampilkan kebingungan. Ini adalah tanda bahwa Nodaria akan terus menargetkan organisasi Ukraina, berusaha mengumpulkan informasi berharga dari target profil tinggi.
