Nhóm tấn công UAC-0056 bổ sung chức năng đánh cắp thông tin nâng cao trong bộ công cụ của mình

- Nhóm tấn công UAC-0056 (hay còn gọi là Nodaria) đã phát động nhiều chiến dịch tấn công Ukraine kể từ khi Nga tiến hành xâm lược quân sự vào nước này. Gần đây, nhóm đã bắt đầu triển khai phần mềm độc hại đánh cắp thông tin mới được đặt tên là Graphiron.

Graphiron được phát triển bằng Go phiên bản 1.18 và có khả năng thu thập nhiều loại thông tin từ máy tính bị lây nhiễm, bao gồm thông tin hệ thống, thông tin đăng nhập, ảnh chụp màn hình và tệp. Phần mềm độc hại này là một phiên bản cải tiến của backdoor tùy chỉnh GraphSteel của nhóm. Nó có các tính năng bổ sung để chạy các lệnh shell và thu thập thông tin hệ thống, tệp…

Chuỗi lây nhiễm bao gồm hai giai đoạn, Downloader.Graphiron và payload Infostealer.Graphiron. Downloader chịu trách nhiệm truy xuất patload được mã hóa có chứa Infostealer. Graphiron từ một máy chủ từ xa. Còn payload có khả năng thực hiện một số tác vụ, bao gồm truy xuất tên máy chủ, thông tin hệ thống và thông tin người dùng, đồng thời đánh cắp mật khẩu và dữ liệu được lưu trữ từ Firefox, Thunderbird và PuTTY.

Hơn nữa, nó giao tiếp với máy chủ C&C bằng cổng 443 và được mã hóa bằng mật mã AES.

UAC-0056 đã nhiều lần triển khai các backdoor tùy chỉnh trong các cuộc tấn công vào Ukraine. Mặc dù nhóm này tương đối ít được biết đến trước cuộc xâm lược Ukraine của Nga, nhưng hoạt động của nhóm này trong năm qua và việc bổ sung các tính năng nâng cao trong Graphiron cho thấy nhóm này đang cập nhật kho vũ khí của mình để khởi động nhiều chiến dịch mạng hơn.

Để đối phó với nguy cơ trên, theo Trung tâm Giám sát an toàn không gian mạng quốc gia, thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông, các đơn vị cần thường xuyên cập nhật thông tin (như các chiến dịch tấn công của các nhóm APT, thông tin IoC kèm theo từng chiến dịch, điểm yếu lỗ hổng đang bị lợi dụng để khai thác,…), rà soát trên các hệ thống thống thông tin để phát hiện và ngăn chặn, xử lý kịp thời.