Giddome Backdoor
تهدید Giddome Backdoor یک عنصر اصلی در زرادخانه مضر یک سازمان مجرم سایبری است که تحت نامهای Shuckworm، Gamaredon و Armageddon ردیابی میشود. تهدید بدافزار علیه اهداف در اوکراین مستقر شده است، رفتاری که مطابق با فعالیت های قبلی گروه هکر است.
عملیات حمله، دسترسی اولیه به دستگاههای قربانیان را از طریق پیامهای فیشینگ ارائه میکرد که یک فایل بایگانی ۷-Zip خود استخراج میکرد، که یک فایل XML را از یک زیر دامنه مرتبط با Shuckworm دریافت میکرد. از طرف دیگر، عوامل تهدید از دانلود کننده های VBS برای واکشی بارهای تهدید کننده استفاده کردند. علاوه بر Giddome Backdoor، مجرمان سایبری انواع تهدیدات درپشتی Pterodo و همچنین انواع مختلفی از دزد اطلاعات PowerShell را به کار گرفتند. جزئیات این تهدیدات و عملیات حمله در گزارشی توسط محققان بدافزار در اختیار عموم قرار گرفت.
پس از فعال شدن در دستگاه قربانی، می توان به Giddome دستور داد که کنترل میکروفون را در دست بگیرد و صداهای ضبط شده را انجام دهد. سپس فایل های ایجاد شده در یک مکان از راه دور که توسط مهاجمان کنترل می شود آپلود می شوند. این تهدید همچنین قادر به گرفتن اسکرین شات دلخواه و آپلود آنها نیز می باشد. برای به دست آوردن اطلاعات حساس، Giddome میتواند روالهای keylogging را روی دستگاه ایجاد کند و ورودیهای قربانیان را بگیرد. علاوه بر این، درب پشتی میتواند برای واکشی فایلهای .exe و .dll و اجرا/بارگذاری آنها در دستگاههای شکستهشده استفاده شود، و به مهاجمان توانایی ارائه بارهای اضافی را میدهد.
اعتقاد بر این است که گروه مجرم سایبری شاکورم اگر بخشی از نیروی امنیتی فدرال این کشور (FSB) نباشد، به شدت با روسیه در ارتباط است. فعالیتهای نسبت داده شده به Shuckworm تا سال 2014 بازمیگردد و عملیات حمله به طور مداوم در نهادهای کلیدی دولتی و خصوصی اوکراین هدف قرار گرفته است. از زمان تهاجم روسیه به اوکراین، هکرها در راه اندازی حملات فیشینگ و استقرار گونه ها و انواع بدافزار جدید فعال تر شده اند.