Giddome achterdeur

De Giddome Backdoor-dreiging is een hoofdbestanddeel van het schadelijke arsenaal van een cybercriminele organisatie die wordt gevolgd onder de namen Shuckworm, Gamaredon en Armageddon. De malwaredreiging wordt ingezet tegen doelen in Oekraïne, gedrag dat consistent is met de eerdere activiteiten van de hackergroep.

De aanvalsoperatie kreeg de eerste toegang tot de apparaten van de slachtoffers via phishing-berichten die een zelf-uitpakkend 7-Zip-archiefbestand afleverden, dat een XML-bestand ophaalde van een subdomein dat is gekoppeld aan Shuckworm. Als alternatief gebruikten de bedreigingsactoren VBS-downloaders om de dreigende payloads op te halen. Naast de Giddome Backdoor hebben de cybercriminelen varianten van de Pterodo- backdoor-dreiging ingezet, evenals verschillende varianten van een PowerShell-infostealer. Details over deze bedreigingen en de aanvalsoperatie zijn openbaar gemaakt in een rapport van malwareonderzoekers.

Eenmaal geactiveerd op het apparaat van het slachtoffer, kan Giddome worden geïnstrueerd om de microfoon over te nemen en audio-opnames te maken. De gemaakte bestanden zouden vervolgens worden geüpload naar een externe locatie die wordt beheerd door de aanvallers. De dreiging is ook in staat om willekeurige schermafbeeldingen te maken en deze ook te uploaden. Om gevoelige informatie te verkrijgen, kan Giddome keylogging-routines op het apparaat instellen, waarbij de invoer van de slachtoffers wordt vastgelegd. Bovendien kan de achterdeur worden gebruikt om .exe- en .dll-bestanden op te halen en deze uit te voeren/laden op de gehackte apparaten, waardoor de aanvallers extra payloads kunnen leveren.

De cybercriminele groep Shuckworm wordt verondersteld nauw verbonden te zijn met Rusland, zo niet een deel van de Federal Security Force (FSB) van het land. De activiteiten die aan Shuckworm worden toegeschreven, gaan terug tot 2014, waarbij de aanvalsoperaties consequent gericht waren op belangrijke openbare en particuliere Oekraïense entiteiten. Sinds de Russische invasie van Oekraïne zijn de hackers nog actiever geworden in het lanceren van phishing-aanvallen en het inzetten van nieuwe malwaresoorten en varianten.