Giddome Backdoor

„Giddome Backdoor“ grėsmė yra žalingo kibernetinės nusikaltėlių organizacijos, sekamos Shuckworm, Gamaredon ir Armageddon pavadinimais, arsenale. Kenkėjiškų programų grėsmė yra dislokuota prieš taikinius Ukrainoje, elgesys atitinka ankstesnę įsilaužėlių grupės veiklą.

Per atakos operaciją buvo pasiekta pradinė prieiga prie aukų įrenginių per sukčiavimo pranešimus, kuriuose buvo pateiktas savaime išsiskleidžiantis 7 ZIP archyvo failas, kuris gavo XML failą iš subdomeno, susieto su Shuckworm. Arba grėsmės veikėjai naudojo VBS atsisiuntimo programas, kad gautų grėsmingus krovinius. Be Giddome Backdoor, kibernetiniai nusikaltėliai dislokavo Pterodo backdoor grėsmės variantus, taip pat keletą PowerShell informacijos vagių variantų. Išsami informacija apie šias grėsmes ir atakos operaciją buvo paskelbta viešai kenkėjiškų programų tyrinėtojų ataskaitoje.

Suaktyvinus aukos įrenginyje, Giddome gali būti nurodyta perimti mikrofono valdymą ir daryti garso įrašus. Tada sukurti failai būtų įkelti į nuotolinę vietą, kurią kontroliuoja užpuolikai. Grėsmė taip pat gali padaryti savavališkas ekrano kopijas ir jas įkelti. Kad gautų neskelbtiną informaciją, „Giddome“ gali nustatyti įrenginyje klavišų registravimo procedūras, fiksuodama aukų įvestus duomenis. Be to, užpakalinės durys gali būti naudojamos norint gauti .exe ir .dll failus ir vykdyti / įkelti juos į pažeistus įrenginius, suteikiant užpuolikams galimybę pristatyti papildomus naudingus krovinius.

Manoma, kad kibernetinė nusikaltėlių grupė „Shuckworm“ yra glaudžiai susijusi su Rusija, jei ne dalis šalies Federalinių saugumo pajėgų (FSB). „Shuckworm“ veikla buvo atsekta iki 2014 m., kai atakos operacijos buvo nuolatos nukreiptos į pagrindinius Ukrainos viešuosius ir privačius subjektus. Nuo Rusijos įsiveržimo į Ukrainą įsilaužėliai dar aktyviau pradėjo sukčiavimo atakas ir diegė naujas kenkėjiškų programų padermes ir variantus.