Pintu Belakang Giddome

Ancaman Giddome Backdoor adalah ruji dalam senjata berbahaya organisasi penjenayah siber yang dikesan di bawah nama Shuckworm, Gamaredon dan Armageddon. Ancaman perisian hasad digunakan terhadap sasaran di Ukraine, tingkah laku yang konsisten dengan aktiviti kumpulan penggodam sebelumnya.

Operasi serangan mencapai akses awal kepada peranti mangsa melalui mesej pancingan data yang menghantar fail arkib 7-Zip yang mengekstrak sendiri, yang mengambil fail XML daripada subdomain yang dikaitkan dengan Shuckworm. Sebagai alternatif, pelakon ancaman menggunakan pemuat turun VBS untuk mengambil muatan yang mengancam. Selain Giddome Backdoor, penjenayah siber menggunakan varian ancaman pintu belakang Pterodo , serta beberapa varian pencuri maklumat PowerShell. Butiran tentang ancaman ini dan operasi serangan telah dikeluarkan kepada umum dalam laporan oleh penyelidik perisian hasad.

Setelah diaktifkan pada peranti mangsa, Giddome boleh diarahkan untuk mengawal mikrofon dan membuat rakaman audio. Fail yang dibuat kemudiannya akan dimuat naik ke lokasi terpencil yang dikawal oleh penyerang. Ancaman itu juga mampu mengambil tangkapan skrin sewenang-wenangnya dan memuat naiknya juga. Untuk mendapatkan maklumat sensitif, Giddome boleh mewujudkan rutin pengelogan kunci pada peranti, menangkap input mangsa. Selain itu, pintu belakang boleh digunakan untuk mengambil fail .exe dan .dll dan melaksanakan/memuatkannya pada peranti yang dilanggar, memberikan penyerang keupayaan untuk menghantar muatan tambahan.

Kumpulan penjenayah siber Shuckworm dipercayai mempunyai hubungan rapat dengan Rusia, jika bukan sebahagian daripada Pasukan Keselamatan Persekutuan (FSB) negara itu. Aktiviti yang dikaitkan dengan Shuckworm telah dikesan sejak 2014 dengan operasi serangan secara konsisten disasarkan kepada entiti utama awam dan swasta Ukraine. Sejak pencerobohan Rusia ke atas Ukraine, penggodam telah menjadi lebih aktif dalam melancarkan serangan pancingan data dan menggunakan jenis dan varian perisian hasad baharu.