Giddome Backdoor

Giddome Backdoor draudi ir galvenais elements kibernoziedznieku organizācijas kaitīgajā arsenālā, kas tiek izsekota ar nosaukumiem Shuckworm, Gamaredon un Armageddon. Ļaunprātīgas programmatūras draudi tiek izvietoti pret mērķiem Ukrainā, kas atbilst iepriekšējām hakeru grupas darbībām.

Uzbrukuma operācijā tika panākta sākotnējā piekļuve upuru ierīcēm, izmantojot pikšķerēšanas ziņojumus, kas piegādāja pašizpletes 7 ZIP arhīva failu, kas ienesa XML failu no apakšdomēna, kas saistīts ar Shuckworm. Alternatīvi, apdraudējuma dalībnieki izmantoja VBS lejupielādētājus, lai ielādētu apdraudošās kravas. Papildus Giddome Backdoor kibernoziedznieki izvietoja Pterodo backdoor draudu variantus, kā arī vairākus PowerShell informācijas zagļa variantus. Sīkāka informācija par šiem draudiem un uzbrukuma operāciju tika publiskota ļaunprātīgas programmatūras pētnieku ziņojumā.

Kad Giddome ir aktivizēts upura ierīcē, var dot norādījumus pārņemt mikrofona vadību un veikt audio ierakstus. Pēc tam izveidotie faili tiks augšupielādēti attālā vietā, kuru kontrolē uzbrucēji. Draudi var arī uzņemt patvaļīgus ekrānuzņēmumus un arī tos augšupielādēt. Lai iegūtu sensitīvu informāciju, Giddome ierīcē var izveidot taustiņu reģistrēšanas rutīnas, tverot upuru ievadi. Turklāt aizmugures durvis var izmantot, lai ielādētu .exe un .dll failus un izpildītu/ielādētu tos uzlauztajās ierīcēs, sniedzot uzbrucējiem iespēju piegādāt papildu kravas.

Tiek uzskatīts, ka Shuckworm kibernoziedznieku grupējums ir cieši saistīts ar Krieviju, ja ne daļa no valsts Federālajiem drošības spēkiem (FSB). Ar Shuckworm saistītās darbības tika izsekotas līdz 2014. gadam, un uzbrukumu operācijas konsekventi bija vērstas pret galvenajām Ukrainas valsts un privātajām struktūrām. Kopš Krievijas iebrukuma Ukrainā hakeri ir kļuvuši vēl aktīvāki, uzsākot pikšķerēšanas uzbrukumus un izvietojot jaunus ļaunprātīgas programmatūras celmus un variantus.