赛门铁克的威胁猎手团队将这一活动归因于一个与俄罗斯有关的网络威胁行为者,它之前被称为TA471(或UAC-0056),自2021年初以来一直活跃,该组织支持俄罗斯政府的利益,虽然它主要针对乌克兰,但该组织也一直活跃在北美和欧洲的北约成员国。
TA471与WhisperGate有关,这是一种破坏性的数据清除恶意软件,在2022年1月针对乌克兰目标的多个网络攻击中使用。该恶意软件伪装成勒索软件,但使目标设备完全无法操作,即使支付赎金要求也无法恢复文件。
据赛门铁克称,该黑客组织的最新活动依靠以前未曾见过的信息窃取恶意软件,这被称之为"Graphiron",特别用于针对乌克兰组织。据研究人员称,该恶意软件被用来从2022年10月至至少2023年1月中旬的受感染机器中窃取数据,有理由认为它仍然是[黑客]工具包的一部分。"
这种窃取信息的恶意软件使用的文件名旨在伪装成合法的微软Office文件,与其他TA471工具类似,如GraphSteel和GrimPlant,它们之前被用作专门针对乌克兰国家机构的鱼叉式钓鱼活动的一部分。但赛门铁克表示,Graphiron旨在渗出更多数据,包括屏幕截图和私人SSH密钥。
赛门铁克威胁猎手团队首席情报分析师迪克-奥布莱恩(Dick O'Brien)表示:"从情报角度来看,这些信息本身可能是有用的,或者可以用来深入目标组织或发起破坏性攻击。虽然对这个黑客组织的来源或战略知之甚少,但TA471已经成为俄罗斯对乌克兰持续进行的网络活动中的关键角色之一。"
TA471的最新间谍活动的消息是在乌克兰政府对另一个俄罗斯国家支持的黑客组织(被称为UAC-0010)敲响警钟后的几天,该组织继续对乌克兰组织进行频繁的网络攻击活动。
乌克兰国家网络保护中心说:"尽管主要使用重复的技术和程序,但对手缓慢但坚持地发展他们的战术,重新开发使用的恶意软件变体,以保持不被发现。因此,它仍然是我们国家的组织所面临的关键网络威胁之一"。