Graphiron: ウクライナでロシアの新型情報窃取マルウェアが展開

諜報グループNodaria（別名UAC-0056）が、ウクライナの標的に対して新たな情報窃取マルウェアを使用しています。このマルウェア（Infostealer.Graphiron）はGoで記述されており、感染したコンピュータからシステム情報、資格情報、スクリーンショット、ファイルなど、さまざまな情報を収集するよう設計されています。

Graphironの使用を示す最初の証拠は、2022年10月に見つかっています。少なくとも2023年1月中旬まで使用され続けており、Nodariaツールキットの一部として残っていると考えるのが妥当でしょう。

Graphironの機能

Graphironは、ダウンローダー（Downloader.Graphiron）とペイロード（Infostealer.Graphiron）からなる2段階の脅威です。

ダウンローダーには、ハードコードされたコマンドアンドコントロール（C&C）サーバーのアドレスが含まれています。実行されると、マルウェア分析ツールのブラックリストと照合され、表1に示す名前のプロセスが実行されているかどうかが確認されます。

ブラックリストにあるプロセスが見つからなかった場合は、C&Cサーバーに接続してペイロードをダウンロードし、復号化してから自動実行に追加します。

ダウンローダーは、一度だけ実行するように設計されています。ペイロードのダウンロードとインストールに失敗した場合、それ以上の試みは行われず、ハートビートも送信されません。

Graphironは、ハードコードされたキーでAES暗号化を使用します。また、「.lock」と「.trash」という拡張子を持つ一時ファイルを作成します。Graphironは、OfficeTemplate.exeやMicrosoftOfficeDashboard.exeなど、Microsoft Officeの実行ファイルを装った、ハードコードされたファイル名を使用します。

このペイロードは、以下のタスクを実行することが可能です。

• MachineGuidの読み込み
• https://checkip.amazonaws.comからIPアドレスを取得
• ホスト名、システム情報、ユーザー情報の取得
• FirefoxとThunderbirdからデータを窃取
• MobaXTermから秘密鍵を窃取
• SSH の既知のホストを窃取
• PuTTYからデータを窃取
• 保存されているパスワードを窃取
• スクリーンショットの取得
• ディレクトリの作成
• ディレクトリのリスト表示
• シェルコマンドの実行
• 任意のファイルを窃取

パスワードの窃取は、以下のPowerShellコマンドを使って実行されます。

[void][Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials,ContentType=WindowsRuntime];$vault = New-Object Windows.Security.Credentials.PasswordVault;$vault.RetrieveAll() | % { $_.RetrievePassw

ord();$_} | Select UserName, Resource, Password | Format-Table –HideTableHeaders

PuTTYセッションのリストをエクスポートするために、以下のコマンドが使用されました。

"CSIDL_SYSTEM\reg.exe" query HKCU\Software\SimonTatham\Putty\Sessions

従来のツールとの類似点

Graphironは、GraphSteelやGrimPlantといったNodariaの従来のツールと類似している部分があります。GraphSteelは、PowerShellを使用して、システム情報やパスワードボールトから盗んだ認証情報とともに、ファイルを流出させるように設計されています。Graphironも同様の機能を持っていますが、スクリーンショットやSSHキーなど、より多くの情報を盗み出すことができます。

さらに、以前のマルウェアと同様に、Graphironはポート443を使用してC&Cサーバーと通信し、通信はAES暗号を使用して暗号化されています。

Nodaria

Nodariaは少なくとも2021年3月から活動しており、主にウクライナの組織を標的にしているようです。このグループがキルギスタン国内の標的への攻撃に関与していることを示唆する限定的な証拠も見つかっています。第三者による報告では、同グループをジョージアへの攻撃と関連付けるものもあります。

同グループは、2022年1月にウクライナ政府の複数のコンピュータやWebサイトを襲ったワイパー攻撃「WhisperGate」に関連付けられ、世間の注目を集めるようになりました。WhisperGateが最初にシステムに読み込まれると、マルウェアはマシンの起動時にOSを起動する役割を果たすハードドライブの部分を、1万ドルのビットコインを要求する脅迫状で上書きします。しかし、これは単なるおとりであり、WhisperGateマルウェアは感染したマシン内のデータを破壊し、身代金を支払ってもデータを復旧することができません。

このグループの通常の感染ベクトルはスピアフィッシングメールであり、このメールを利用して、さまざまなペイロードを標的に配信しています。これまでに同グループが使用したカスタムツールは以下の通りです。

• Elephant Dropper:  ドロッパー
• Elephant Downloader:  ダウンローダー
• SaintBot:  ダウンローダー
• OutSteel:  情報窃取ツール
• GrimPlant（別名Elephant Implant）:  システム情報を収集し、潜伏し続ける
• GraphSteel（別名Elephant Client）:  情報窃取ツール

Graphironと同様に、Nodariaの初期のツールの多くはGoで記述されています。Graphironは、同じ開発者によって作成された最新のマルウェアのようで、おそらく追加機能の必要性に応じて作成されたものと思われます。GraphSteelとGrimPlantはGoのバージョン1.16を使用していますが、Graphironはバージョン1.18を使用しており、より最近の開発であることが確認されています。

Nodariaは、ロシアのウクライナ侵攻以前はあまり知られていませんでしたが、過去1年間のハイレベルな活動から、現在ではロシアのウクライナに対する継続的なサイバーキャンペーンにおける主要なプレイヤーの1つであることが示唆されています。

保護/緩和

Symantec Protection Bulletinで保護に関する最新情報をご確認ください。

侵害の痕跡

IOCが悪意のあるもので、シマンテックが入手できるファイルであれば、Symantec Endpoint製品はそのファイルを検知し、ブロックします。

SHA-256:

0d0a675516f1ff9247f74df31e90f06b0fea160953e5e3bada5d1c8304cfbe63 — Downloader.Graphiron

878450da2e44f5c89ce1af91479b9a9491fe45211fee312354dfe69e967622db — Downloader.Graphiron

80e6a9079deffd6837363709f230f6ab3b2fe80af5ad30e46f6470a0c73e75a7 — Infostealer.Graphiron

eee1d29a425231d981efbc25b6d87fdb9ca9c0e4e3eb393472d5967f7649a1e6 — Infostealer.Graphiron

f0fd55b743a2e8f995820884e6e684f1150e7a6369712afe9edb57ffd09ad4c1 — Infostealer.Graphiron

f86db0c0880bb81dbfe5ea0b087c2d17fab7b8eefb6841d15916ae9442dd0cce — Infostealer.Graphiron

ネットワーク:

208.67.104[.]95 — C&Cサーバー