Zadní vrátka Giddome

Hrozba Giddome Backdoor je základem škodlivého arzenálu kyberzločinecké organizace sledované pod jmény Shuckworm, Gamaredon a Armageddon. Malwarová hrozba je nasazena proti cílům na Ukrajině, přičemž chování je v souladu s předchozími aktivitami hackerské skupiny.

Útočná operace dosáhla počátečního přístupu k zařízením obětí prostřednictvím phishingových zpráv, které doručily samorozbalovací archivní soubor 7-Zip, který stáhl soubor XML ze subdomény spojené s Shuckworm. Alternativně aktéři hrozeb využili stahovací programy VBS k načtení ohrožujících dat. Kromě zadních vrátek Giddome nasadili kyberzločinci varianty hrozby zadních vrátek Pterodo a také několik variant krádeže informací PowerShell. Podrobnosti o těchto hrozbách a operaci útoku byly zveřejněny ve zprávě výzkumníků malwaru.

Po aktivaci na zařízení oběti může být Giddome instruován, aby převzal kontrolu nad mikrofonem a pořídil zvukové nahrávky. Vytvořené soubory by pak byly nahrány na vzdálené místo ovládané útočníky. Hrozba je také schopna pořizovat libovolné snímky obrazovky a také je nahrávat. Pro získání citlivých informací může Giddome na zařízení zavést rutiny pro záznam kláves, které zachytí vstupy obětí. Kromě toho lze zadní vrátka použít k načtení souborů .exe a .dll a jejich spouštění/načítání na narušená zařízení, což útočníkům dává možnost dodat další užitečné zatížení.

Předpokládá se, že kyberzločinecká skupina Shuckworm je úzce spojena s Ruskem, ne-li součástí Federálních bezpečnostních sil (FSB) země. Činnosti připisované Shuckwormovi sahá až do roku 2014, přičemž útočné operace byly trvale zaměřeny na klíčové veřejné a soukromé ukrajinské subjekty. Od ruské invaze na Ukrajinu se hackeři stali ještě aktivnějšími ve spouštění phishingových útoků a nasazování nových kmenů a variant malwaru.