Giddome Backdoor

Giddome Backdoor -uhka on olennainen osa Shuckworm-, Gamaredon- ja Armageddon-nimillä jäljitettävän kyberrikollisjärjestön haitallista arsenaalia. Haittaohjelmauhka kohdistuu Ukrainan kohteisiin, mikä on hakkeriryhmän aiemman toiminnan mukaista.

Hyökkäysoperaatio saavutti alustavan pääsyn uhrien laitteisiin tietojenkalasteluviesteillä, jotka toimittivat itsepurkautuvan 7-zip-arkistotiedoston, joka haki XML-tiedoston Shuckworm-aliverkkotunnuksesta. Vaihtoehtoisesti uhkatoimijat käyttivät VBS-latausohjelmia uhkaavien hyötykuormien hakemiseen. Giddome Backdoorin lisäksi kyberrikolliset ottivat käyttöön muunnelmia Pterodo- takaoven uhkasta sekä useita muunnelmia PowerShell-tietovarastajasta. Yksityiskohdat näistä uhista ja hyökkäysoperaatiosta julkistettiin haittaohjelmien tutkijoiden raportissa.

Kun Giddome on aktivoitu uhrin laitteessa, sitä voidaan ohjata ottamaan mikrofonin hallintaan ja tekemään äänitallenteita. Luodut tiedostot ladataan sitten hyökkääjien hallitsemaan etäsijaintiin. Uhka pystyy myös ottamaan mielivaltaisia kuvakaappauksia ja lataamaan ne myös. Saadakseen arkaluontoisia tietoja Giddome voi luoda näppäinlokirutiineja laitteelle, joka kaappaa uhrien syötteet. Lisäksi takaovea voidaan käyttää .exe- ja .dll-tiedostojen hakemiseen ja niiden suorittamiseen/lataamiseen rikottuihin laitteisiin, jolloin hyökkääjät voivat toimittaa lisäkuormia.

Shuckworm-verkkorikollisryhmän uskotaan olevan tiiviissä yhteydessä Venäjään, ellei osa maan liittovaltion turvallisuusjoukkoja (FSB). Shuckwormin syyksi luetut toimet ovat peräisin vuoteen 2014 asti, ja hyökkäysoperaatiot on johdonmukaisesti kohdistettu Ukrainan tärkeimpiin julkisiin ja yksityisiin yksiköihin. Venäjän Ukrainan hyökkäyksen jälkeen hakkerit ovat alkaneet entistä aktiivisemmin käynnistää tietojenkalasteluhyökkäyksiä ja ottaa käyttöön uusia haittaohjelmakantoja ja -versioita.