Giddome bakdør

Giddome Backdoor-trusselen er en fast bestanddel i det skadelige arsenalet til en nettkriminell organisasjon sporet under navnene Shuckworm, Gamaredon og Armageddon. Skadevaretrusselen er utplassert mot mål i Ukraina, oppførsel i samsvar med de tidligere aktivitetene til hackergruppen.

Angrepsoperasjonen oppnådde innledende tilgang til ofrenes enheter via phishing-meldinger som leverte en selvutpakkende 7-Zip-arkivfil, som hentet en XML-fil fra et underdomene knyttet til Shuckworm. Alternativt brukte trusselaktørene VBS-nedlastere for å hente de truende nyttelastene. I tillegg til Giddome Backdoor, distribuerte cyberkriminelle varianter av Pterodo -bakdørstrusselen, samt flere varianter av en PowerShell-info-tyver. Detaljer om disse truslene og angrepsoperasjonen ble offentliggjort i en rapport fra skadevareforskere.

Når den er aktivert på offerets enhet, kan Giddome få beskjed om å ta kontroll over mikrofonen og gjøre lydopptak. De opprettede filene vil deretter bli lastet opp til et eksternt sted kontrollert av angriperne. Trusselen er også i stand til å ta vilkårlige skjermbilder og laste dem opp også. For å innhente sensitiv informasjon kan Giddome etablere keylogging-rutiner på enheten, og fange inn input fra ofrene. I tillegg kan bakdøren brukes til å hente .exe- og .dll-filer og kjøre/laste dem på de brutte enhetene, noe som gir angriperne muligheten til å levere ekstra nyttelast.

Den nettkriminelle gruppen Shuckworm antas å være tett knyttet til Russland, om ikke en del av landets føderale sikkerhetsstyrke (FSB). Aktiviteter som tilskrives Shuckworm har sporet tilbake så langt som til 2014, og angrepsoperasjonene har konsekvent vært rettet mot sentrale offentlige og private ukrainske enheter. Siden den russiske invasjonen av Ukraina har hackerne blitt enda mer aktive i å lansere phishing-angrep og distribuere nye malware-stammer og varianter.