Giddome Backdoor

تهدید Giddome Backdoor یک عنصر اصلی در زرادخانه مضر یک سازمان مجرم سایبری است که تحت نام‌های Shuckworm، Gamaredon و Armageddon ردیابی می‌شود. تهدید بدافزار علیه اهداف در اوکراین مستقر شده است، رفتاری که مطابق با فعالیت های قبلی گروه هکر است.

عملیات حمله، دسترسی اولیه به دستگاه‌های قربانیان را از طریق پیام‌های فیشینگ ارائه می‌کرد که یک فایل بایگانی ۷-Zip خود استخراج می‌کرد، که یک فایل XML را از یک زیر دامنه مرتبط با Shuckworm دریافت می‌کرد. از طرف دیگر، عوامل تهدید از دانلود کننده های VBS برای واکشی بارهای تهدید کننده استفاده کردند. علاوه بر Giddome Backdoor، مجرمان سایبری انواع تهدیدات درپشتی Pterodo و همچنین انواع مختلفی از دزد اطلاعات PowerShell را به کار گرفتند. جزئیات این تهدیدات و عملیات حمله در گزارشی توسط محققان بدافزار در اختیار عموم قرار گرفت.

پس از فعال شدن در دستگاه قربانی، می توان به Giddome دستور داد که کنترل میکروفون را در دست بگیرد و صداهای ضبط شده را انجام دهد. سپس فایل های ایجاد شده در یک مکان از راه دور که توسط مهاجمان کنترل می شود آپلود می شوند. این تهدید همچنین قادر به گرفتن اسکرین شات دلخواه و آپلود آنها نیز می باشد. برای به دست آوردن اطلاعات حساس، Giddome می‌تواند روال‌های keylogging را روی دستگاه ایجاد کند و ورودی‌های قربانیان را بگیرد. علاوه بر این، درب پشتی می‌تواند برای واکشی فایل‌های .exe و .dll و اجرا/بارگذاری آن‌ها در دستگاه‌های شکسته‌شده استفاده شود، و به مهاجمان توانایی ارائه بارهای اضافی را می‌دهد.

اعتقاد بر این است که گروه مجرم سایبری شاک‌ورم اگر بخشی از نیروی امنیتی فدرال این کشور (FSB) نباشد، به شدت با روسیه در ارتباط است. فعالیت‌های نسبت داده شده به Shuckworm تا سال 2014 بازمی‌گردد و عملیات حمله به طور مداوم در نهادهای کلیدی دولتی و خصوصی اوکراین هدف قرار گرفته است. از زمان تهاجم روسیه به اوکراین، هکرها در راه اندازی حملات فیشینگ و استقرار گونه ها و انواع بدافزار جدید فعال تر شده اند.