Giddome Backdoor
ការគំរាមកំហែង Giddome Backdoor គឺជាសារធាតុសំខាន់នៅក្នុងឃ្លាំងអាវុធគ្រោះថ្នាក់នៃអង្គការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលត្រូវបានតាមដានក្រោមឈ្មោះ Shuckworm, Gamaredon និង Armageddon ។ ការគំរាមកំហែងមេរោគនេះត្រូវបានដាក់ពង្រាយប្រឆាំងនឹងគោលដៅក្នុងប្រទេសអ៊ុយក្រែន អាកប្បកិរិយាស្របនឹងសកម្មភាពពីមុនរបស់ក្រុមហេគឃ័រ។
ប្រតិបត្តិការវាយប្រហារបានសម្រេចការចូលប្រើដំបូងទៅកាន់ឧបករណ៍របស់ជនរងគ្រោះតាមរយៈសារបន្លំដែលផ្តល់នូវឯកសារបណ្ណសារ 7-Zip ដែលស្រង់ចេញដោយខ្លួនឯង ដែលបានទាញយកឯកសារ XML ពីដែនរងដែលភ្ជាប់ជាមួយ Shuckworm ។ ម៉្យាងទៀត តួអង្គគំរាមកំហែងបានប្រើប្រាស់កម្មវិធីទាញយក VBS ដើម្បីទាញយកបន្ទុកគំរាមកំហែង។ បន្ថែមពីលើ Giddome Backdoor ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានដាក់ពង្រាយវ៉ារ្យ៉ង់នៃការគំរាមកំហែង ខាងក្រោយ Pterodo ក៏ដូចជាវ៉ារ្យ៉ង់ជាច្រើននៃ PowerShell info-stealer ។ ព័ត៌មានលម្អិតអំពីការគំរាមកំហែងទាំងនេះ និងប្រតិបត្តិការវាយប្រហារត្រូវបានចេញផ្សាយជាសាធារណៈនៅក្នុងរបាយការណ៍មួយដោយអ្នកស្រាវជ្រាវមេរោគ។
នៅពេលដែលបានធ្វើឱ្យសកម្មនៅលើឧបករណ៍របស់ជនរងគ្រោះ Giddome អាចត្រូវបានណែនាំឱ្យគ្រប់គ្រងមីក្រូហ្វូន និងធ្វើការថតសំឡេង។ បន្ទាប់មក ឯកសារដែលបានបង្កើតនឹងត្រូវបង្ហោះទៅកាន់ទីតាំងដាច់ស្រយាលដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ ការគំរាមកំហែងនេះក៏មានសមត្ថភាពក្នុងការថតរូបអេក្រង់តាមអំពើចិត្ត និងបង្ហោះវាផងដែរ។ ដើម្បីទទួលបានព័ត៌មានរសើប Giddome អាចបង្កើតទម្លាប់នៃការចាក់សោរគន្លឹះនៅលើឧបករណ៍ ដោយចាប់យកធាតុចូលរបស់ជនរងគ្រោះ។ លើសពីនេះ backdoor អាចត្រូវបានប្រើដើម្បីទាញយកឯកសារ .exe និង .dll ហើយប្រតិបត្តិ/ផ្ទុកពួកវានៅលើឧបករណ៍ដែលបំពាន ដោយផ្តល់ឱ្យអ្នកវាយប្រហារនូវសមត្ថភាពក្នុងការចែកចាយបន្ទុកបន្ថែម។
ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត Shuckworm ត្រូវបានគេជឿថាមានទំនាក់ទំនងយ៉ាងតឹងរ៉ឹងជាមួយប្រទេសរុស្ស៊ី ប្រសិនបើមិនមែនជាផ្នែកនៃកងកម្លាំងសន្តិសុខសហព័ន្ធ (FSB) របស់ប្រទេស។ សកម្មភាពដែលត្រូវបានសន្មតថាជា Shuckworm បានតាមដានរហូតដល់ឆ្នាំ 2014 ជាមួយនឹងប្រតិបត្តិការវាយប្រហារបានកំណត់គោលដៅជាបន្តបន្ទាប់ទៅលើអង្គភាពសាធារណៈ និងឯកជនសំខាន់ៗរបស់អ៊ុយក្រែន។ ចាប់តាំងពីការលុកលុយរបស់រុស្សីមកអ៊ុយក្រែន ពួក Hacker កាន់តែសកម្មក្នុងការចាប់ផ្តើមការវាយប្រហារដោយបន្លំ និងដាក់ពង្រាយមេរោគ និងវ៉ារ្យ៉ង់ថ្មីនៃមេរោគ។
