Pteredo Backdoor

Újabb, az ukrán célpontok elleni támadásokhoz használt rosszindulatú programtörzseket tártak fel kiberbiztonsági elemzők. A szakértők egy jelentésben részleteket tártak fel a Gamaredon (Armageddon/Shuckworm néven is nyomon követett) kiberbűnöző csoport akciójáról és legújabb, Pteredo Backdoor nevű rosszindulatú programjukról.

A Gamaredonról azt tartják, hogy egy orosz állam által támogatott fenyegető csoport, amely folyamatos és hosszan tartó érdeklődést mutatott az Ukrajna elleni támadások megindítása iránt. Az országban végrehajtott célpontok elleni hadműveletei legalább 2014-ig vezethetők vissza. Azóta a csoport vélhetően több mint 5000 támadást hajtott végre körülbelül 1500 kormányzati, állami és magánszervezet ellen.

Ami a Pteredo (Pteranodon) malware-t illeti, az elemzés feltárta, hogy valószínűleg egy hátsó ajtó leszármazottja, amelyet orosz hackerfórumokon kínáltak. A Gamaredon munkatársai felismerték a fenyegetést, és speciális DLL-modulok segítségével tovább bővítették a képességeit. A Pteredo jelenleg azonosított négy különböző verziója képes adatokat gyűjteni a feltört eszközökről, távelérési kapcsolatokat létesíteni, valamint elemzési-elkerülési technikákkal vannak felszerelve.

Meg kell jegyezni, hogy az ukrán célpontok elleni támadásban alkalmazott hasznos teher különbözik, de aktiválás után hasonló műveleteket hajtanak végre. Azonban minden hasznos adat más Command-and-Control (C2, C&C) szervercímmel kommunikál. A Gamaredon hackerek valószínű célja, hogy a megcélzott eszközök kártevőirtó eszközökkel történő tisztítását sokkal nehezebbé tegyék, némileg eltérő terhelések használatával.