CIBERDELINCUENTES RUSOS UTILIZAn NUEVO MALWARE GRAPHIRON EN UCRANIA

08/02/2023

BOLETÍN NRO 2023-085

Se ha descubierto que el grupo Nodaria, también conocido como UAC-0056, esta utilizando un nuevo malware denominado Graphiron con el objetivo de extraer información de sus objetivos la cual incluye información del sistema, capturas de pantalla, credenciales y archivos.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

El malware consiste en 2 partes, un downloader y un payload el cual contiene las instrucciones para robar la información. El downloader tiene como primer objetivo revisar si están instalados varios software de seguridad en la computadora como BurpSuite, Wireshark, Charles Proxy, entre otros, si es que no detecta ninguno procede a descargar el payload de robo de información. 

Este malware utiliza nombres como “OfficeTemplate.exe” y “MicrosoftOfficeDashboard.exe” para poder camuflarse como un componente de Microsoft Office. Entre la información que busca y extrae se encuentra información general del sistema, información de los navegadores, credenciales, capturas de pantalla, directorios y archivos varios. Para el robo de credenciales que se encuentra en Windows Vault el malware utiliza un comando de PowerShell.

Graphiron contiene varias similitudes con otras herramientas anteriormente desplegadas como “GraphSteel” y “GrimPlant”, sin embargo, este nuevo malware tiene varias mejoras las cuales le permite poder extraer una mayor cantidad de información incluidas las capturas de pantalla.

Nodaria es ahora uno de los principales grupos en llevar a cabo las campañas de ciberataques contra Ucrania por lo cual se espera que desarrollen nuevas capacidades para cumplir sus objetivos de robo de información en objetivos de alto valor.

Indicadores de Compromiso

Hash

MD5: beaed555048e1074fc13cdf8431abd49

SHA-256: 0d0a675516f1ff9247f74df31e90f06b0fea160953e5e3bada5d1c8304cfbe63

MD5: ef81f74875718d370876289088c93150

SHA-256: 878450da2e44f5c89ce1af91479b9a9491fe45211fee312354dfe69e967622db

MD5: aa6f5570b814e336cc91e57f1dbbf22c

SHA-256: 80e6a9079deffd6837363709f230f6ab3b2fe80af5ad30e46f6470a0c73e75a7

MD5: ec18353f05c0ec9c014d4eb57f35dd40

SHA-256: eee1d29a425231d981efbc25b6d87fdb9ca9c0e4e3eb393472d5967f7649a1e6

MD5: 89eb4a35ea3122f01f47abe5e8b4982a

SHA-256: f0fd55b743a2e8f995820884e6e684f1150e7a6369712afe9edb57ffd09ad4c1

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.
• Considerar deshabilitar PowerShell o monitorear su ejecución, evitando que pueda ser aprovechado por softwares maliciosos

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Russian hackers using new Graphiron information stealer in Ukraine
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​