Giddome bagdør

Giddome Backdoor-truslen er en fast bestanddel i det skadelige arsenal af en cyberkriminel organisation sporet under navnene Shuckworm, Gamaredon og Armageddon. Malwaretruslen er indsat mod mål i Ukraine, adfærd i overensstemmelse med hackergruppens tidligere aktiviteter.

Angrebsoperationen opnåede indledende adgang til ofrenes enheder via phishing-beskeder, der leverede en selvudpakkende 7-Zip-arkivfil, som hentede en XML-fil fra et underdomæne forbundet med Shuckworm. Alternativt brugte trusselsaktørerne VBS-downloadere til at hente de truende nyttelaster. Ud over Giddome-bagdøren implementerede cyberkriminelle varianter af Pterodo-bagdørstruslen samt flere varianter af en PowerShell-info-tyver. Detaljer om disse trusler og angrebsoperationen blev frigivet til offentligheden i en rapport fra malware-forskere.

Når først aktiveret på offerets enhed, kan Giddome blive instrueret i at tage kontrol over mikrofonen og lave lydoptagelser. De oprettede filer vil derefter blive uploadet til en fjernplacering kontrolleret af angriberne. Truslen er også i stand til at tage vilkårlige skærmbilleder og uploade dem også. For at indhente følsomme oplysninger kan Giddome etablere keylogging-rutiner på enheden og fange ofrenes input. Derudover kan bagdøren bruges til at hente .exe- og .dll-filer og eksekvere/indlæse dem på de brudte enheder, hvilket giver angriberne mulighed for at levere yderligere nyttelast.

Den cyberkriminelle gruppe Shuckworm menes at være tæt forbundet med Rusland, hvis ikke en del af landets føderale sikkerhedsstyrke (FSB). Aktiviteter, der tilskrives Shuckworm, er sporet tilbage så langt som til 2014, hvor angrebsoperationerne konsekvent var rettet mod centrale offentlige og private ukrainske enheder. Siden den russiske invasion af Ukraine er hackerne blevet endnu mere aktive i at lancere phishing-angreb og implementere nye malware-stammer og -varianter.