Pteredo Backdoor

Flere malware-stammer, der bruges i angreb mod ukrainske mål, bliver afsløret af cybersikkerhedsanalytikere. I en rapport afslørede eksperter detaljer om en operation udført af den cyberkriminelle gruppe Gamaredon (også sporet som Armageddon/Shuckworm) og deres seneste malware-skabelse ved navn Pteredo Backdoor.

Gamaredon menes at være en russisk statssponsoreret trusselsgruppe, der har vist vedvarende og langvarig interesse for at iværksætte angreb mod Ukraine. Dens operationer mod mål i landet kan spores tilbage til mindst 2014. Siden da menes gruppen at have udført over 5.000 angrebsoperationer rettet mod cirka 1.500 offentlige, offentlige og private enheder.

Hvad angår Pteredo (Pteranodon) malware, har analyse afsløret, at det sandsynligvis er en efterkommer af en bagdør, der blev tilbudt på russiske hackerfora. Gamaredon-operatørerne erhvervede truslen og har yderligere udvidet sine muligheder via specialiserede DLL-moduler. De aktuelt identificerede fire forskellige versioner af Pteredo kan indsamle data fra de brudte enheder, etablere fjernadgangsforbindelser og er udstyret med analyseunddragelsesteknikker.

Det skal bemærkes, at nyttelasterne, der er indsat i angrebet mod ukrainske mål, er forskellige, men udfører lignende handlinger, når de først er aktiveret. Hver nyttelast kommunikerer dog med en anden Command-and-Control (C2, C&C) serveradresse. Det sandsynlige mål for Gamaredon-hackere er at gøre rengøringen af målrettede enheder via anti-malware-værktøjer meget sværere ved at bruge lidt forskellige nyttelaster.