기드돔 백도어

Giddome 백도어 위협은 Shuckworm, Gamaredon 및 Armageddon이라는 이름으로 추적되는 사이버 범죄 조직의 유해한 무기고의 핵심입니다. 맬웨어 위협은 우크라이나의 대상에 배포되며 해커 그룹의 이전 활동과 일치합니다.

공격 작업은 Shuckworm과 관련된 하위 도메인에서 XML 파일을 가져오는 자동 압축 풀림 7-Zip 아카이브 파일을 전달하는 피싱 메시지를 통해 피해자의 장치에 대한 초기 액세스를 달성했습니다. 또는 위협 행위자가 VBS 다운로더를 사용하여 위협적인 페이로드를 가져왔습니다. 사이버 범죄자들은 Giddome 백도어 외에도 Pterodo 백도어 위협의 변종과 PowerShell 정보 스틸러의 여러 변종을 배포했습니다. 이러한 위협과 공격 작업에 대한 세부 정보는 멀웨어 연구원의 보고서에서 일반에 공개되었습니다.

피해자의 기기에서 활성화되면 Giddome이 마이크를 제어하고 오디오를 녹음하도록 지시받을 수 있습니다. 생성된 파일은 공격자가 제어하는 원격 위치에 업로드됩니다. 위협은 또한 임의의 스크린샷을 찍어 업로드할 수도 있습니다. 민감한 정보를 얻기 위해 Giddome은 장치에 키로깅 루틴을 설정하여 피해자의 입력을 캡처할 수 있습니다. 또한 백도어를 사용하여 .exe 및 .dll 파일을 가져오고 침해된 장치에서 실행/로드하여 공격자가 추가 페이로드를 전달할 수 있습니다.

Shuckworm 사이버 범죄 그룹은 러시아 연방 보안군(FSB)에 속하지 않더라도 러시아와 긴밀하게 연결되어 있는 것으로 여겨집니다. Shuckworm으로 인한 활동은 2014년까지 거슬러 올라가며 공격 작업은 주요 공공 및 민간 우크라이나 기업을 지속적으로 대상으로 했습니다. 러시아가 우크라이나를 침공한 이후 해커들은 피싱 공격을 시작하고 새로운 맬웨어 변종 및 변종을 배포하는 데 더욱 적극적이 되었습니다.