Giddome stražnja vrata

Prijetnja Giddome Backdoor glavna je komponenta u štetnom arsenalu kibernetičke kriminalne organizacije koja se prati pod imenima Shuckworm, Gamaredon i Armageddon. Prijetnja zlonamjernim softverom raspoređena je protiv ciljeva u Ukrajini, što je ponašanje u skladu s prethodnim aktivnostima hakerske skupine.

Operacijom napada postignut je početni pristup uređajima žrtava putem phishing poruka isporučujući samoraspakirajuću 7-Zip arhivsku datoteku, koja je dohvaćala XML datoteku s poddomene povezane sa Shuckwormom. Alternativno, akteri prijetnje koristili su se VBS programima za preuzimanje kako bi dohvatili prijeteće sadržaje. Uz Giddome Backdoor, kibernetički kriminalci su koristili varijante backdoor prijetnje Pterodo , kao i nekoliko varijanti PowerShell info-stealer-a. Pojedinosti o ovim prijetnjama i operaciji napada puštene su u javnost u izvješću istraživača malwarea.

Nakon što se aktivira na žrtvinom uređaju, Giddome može dobiti upute da preuzme kontrolu nad mikrofonom i napravi audio snimke. Stvorene datoteke zatim bi se učitale na udaljenu lokaciju koju kontroliraju napadači. Prijetnja također može napraviti proizvoljne snimke zaslona i također ih učitati. Za dobivanje osjetljivih informacija, Giddome može uspostaviti rutine za prijavljivanje tipki na uređaju, bilježeći unose žrtava. Osim toga, backdoor se može koristiti za dohvaćanje .exe i .dll datoteka i njihovo izvršavanje/učitavanje na probijenim uređajima, dajući napadačima mogućnost isporuke dodatnih korisnih opterećenja.

Vjeruje se da je kibernetička kriminalna skupina Shuckworm usko povezana s Rusijom, ako ne i dio federalnih sigurnosnih snaga (FSB). Aktivnosti koje se pripisuju Shuckwormu datiraju još od 2014. godine, a operacije napada dosljedno su bile usmjerene na ključne javne i privatne ukrajinske subjekte. Od ruske invazije na Ukrajinu, hakeri su postali još aktivniji u pokretanju phishing napada i postavljanju novih vrsta i varijanti zlonamjernog softvera.