Pteredo bakdør

Flere malware-stammer brukt i angrep mot ukrainske mål blir avdekket av nettsikkerhetsanalytikere. I en rapport avslørte eksperter detaljer om en operasjon utført av den nettkriminelle gruppen Gamaredon (også sporet som Armageddon/Shuckworm) og deres siste malware-skapelse kalt Pteredo Backdoor.

Gamaredon antas å være en russisk statsstøttet trusselgruppe som har vist kontinuerlig og langvarig interesse for å sette i gang angrep mot Ukraina. Dens operasjoner mot mål i landet kan spores tilbake til minst 2014. Siden den gang antas gruppen å ha gjennomført over 5000 angrepsoperasjoner rettet mot omtrent 1500 offentlige, offentlige og private enheter.

Når det gjelder Pteredo (Pteranodon) skadelig programvare, har analyse avslørt at det sannsynligvis er en etterkommer av en bakdør som ble tilbudt på russiske hackerfora. Gamaredon-operatørene skaffet seg trusselen og har ytterligere utvidet sine evner via spesialiserte DLL-moduler. De for øyeblikket identifiserte fire forskjellige versjonene av Pteredo kan samle inn data fra de brutte enhetene, etablere fjerntilgangsforbindelser og er utstyrt med analyse-unnvikelsesteknikker.

Det skal bemerkes at nyttelastene som er utplassert i angrepet mot ukrainske mål er forskjellige, men utfører lignende handlinger når de er aktivert. Hver nyttelast kommuniserer imidlertid med en annen Command-and-Control (C2, C&C) serveradresse. Det sannsynlige målet for Gamaredon-hackere er å gjøre rengjøringen av målrettede enheter via anti-malware-verktøy mye vanskeligere ved bruk av litt forskjellige nyttelaster.