جيدوم مستتر

يعد تهديد Giddome Backdoor عنصرًا أساسيًا في الترسانة الضارة لمنظمة مجرمي الإنترنت يتم تعقبها تحت أسماء Shuckworm و Gamaredon و Armageddon. يتم نشر تهديد البرامج الضارة ضد أهداف في أوكرانيا ، وهو سلوك يتوافق مع الأنشطة السابقة لمجموعة القراصنة.

حققت عملية الهجوم وصولاً مبدئيًا إلى أجهزة الضحايا عبر رسائل التصيد الاحتيالي التي تقدم ملف أرشيف 7-Zip يتم استخراجه ذاتيًا ، والذي جلب ملف XML من مجال فرعي مرتبط بـ Shuckworm. بدلاً من ذلك ، استخدم ممثلو التهديد برامج تنزيل VBS لجلب الحمولات المهددة. بالإضافة إلى Giddome Backdoor ، نشر المجرمون الإلكترونيون متغيرات من تهديد Pterodo backdoor ، بالإضافة إلى العديد من المتغيرات من PowerShell info-stealer. تم نشر تفاصيل حول هذه التهديدات وعملية الهجوم للجمهور في تقرير صادر عن باحثي البرامج الضارة.

بمجرد تفعيله على جهاز الضحية ، يمكن توجيه Giddome للسيطرة على الميكروفون وإجراء تسجيلات صوتية. سيتم بعد ذلك تحميل الملفات التي تم إنشاؤها إلى موقع بعيد يتحكم فيه المهاجمون. التهديد أيضًا قادر على التقاط لقطات عشوائية وتحميلها أيضًا. للحصول على معلومات حساسة ، يمكن لـ Giddome إنشاء إجراءات تسجيل لوحة مفاتيح على الجهاز ، والتقاط مدخلات الضحايا. بالإضافة إلى ذلك ، يمكن استخدام الباب الخلفي لجلب ملفات. exe و. dll وتنفيذها / تحميلها على الأجهزة المخترقة ، مما يمنح المهاجمين القدرة على تسليم حمولات إضافية.

يُعتقد أن مجموعة مجرمي الإنترنت من Shuckworm مرتبطة ارتباطًا وثيقًا بروسيا ، إن لم تكن جزءًا من قوة الأمن الفيدرالية في البلاد (FSB). تم تتبع الأنشطة المنسوبة إلى Shuckworm حتى عام 2014 حيث استهدفت عمليات الهجوم باستمرار الكيانات الأوكرانية العامة والخاصة الرئيسية. منذ الغزو الروسي لأوكرانيا ، أصبح المتسللون أكثر نشاطًا في شن هجمات التصيد ونشر سلالات ومتغيرات جديدة من البرامج الضارة.