Giddome Backdoor
La minaccia Giddome Backdoor è un punto fermo nell'arsenale dannoso di un'organizzazione di criminali informatici sotto il nome di Shuckworm, Gamaredon e Armageddon. La minaccia malware viene implementata contro obiettivi in Ucraina, comportamento coerente con le precedenti attività del gruppo di hacker.
L'operazione di attacco ha ottenuto l'accesso iniziale ai dispositivi delle vittime tramite messaggi di phishing che consegnavano un file di archivio 7-Zip autoestraente, che ha recuperato un file XML da un sottodominio associato a Shuckworm. In alternativa, gli attori delle minacce hanno utilizzato i downloader VBS per recuperare i payload minacciosi. Oltre a Giddome Backdoor, i criminali informatici hanno implementato varianti della minaccia backdoor Pterodo , nonché diverse varianti di un ladro di informazioni PowerShell. I dettagli su queste minacce e sull'operazione di attacco sono stati resi pubblici in un rapporto dai ricercatori di malware.
Una volta attivato sul dispositivo della vittima, Giddom può essere incaricato di prendere il controllo del microfono ed effettuare registrazioni audio. I file creati verrebbero quindi caricati in una posizione remota controllata dagli aggressori. La minaccia è anche in grado di acquisire schermate arbitrarie e caricarle. Per ottenere informazioni sensibili, Giddome può stabilire routine di keylogging sul dispositivo, catturando gli input delle vittime. Inoltre, la backdoor può essere utilizzata per recuperare file .exe e .dll ed eseguirli/caricarli sui dispositivi violati, offrendo agli aggressori la possibilità di fornire payload aggiuntivi.
Si ritiene che il gruppo di criminali informatici Shuckworm sia strettamente connesso alla Russia, se non facente parte della Federal Security Force (FSB) del paese. Le attività attribuite a Shuckworm risalgono al 2014 con le operazioni di attacco che sono state costantemente mirate a importanti entità ucraine pubbliche e private. Dall'invasione russa dell'Ucraina, gli hacker sono diventati ancora più attivi nel lanciare attacchi di phishing e nell'implementazione di nuovi ceppi e varianti di malware.
