Pteredo Backdoor

Cybersecurity-analisten hebben meer soorten malware ontdekt die worden gebruikt bij aanvallen op Oekraïense doelen. In een rapport onthulden experts details over een operatie door de cybercriminele groep Gamaredon (ook gevolgd als Armageddon/Shuckworm) en hun nieuwste malware-creatie genaamd Pteredo Backdoor.

Gamaredon wordt verondersteld een door de Russische staat gesteunde dreigingsgroep te zijn die voortdurende en langdurige interesse heeft getoond in het lanceren van aanvallen op Oekraïne. Haar operaties tegen doelen in het land zijn terug te voeren tot ten minste 2014. Sindsdien zou de groep meer dan 5.000 aanvalsoperaties hebben uitgevoerd die gericht waren op ongeveer 1.500 overheids-, publieke en private entiteiten.

Wat betreft de Pteredo (Pteranodon)-malware, heeft analyse uitgewezen dat het waarschijnlijk een afstammeling is van een achterdeur die werd aangeboden op Russische hackerforums. De agenten van Gamaredon hebben de dreiging overgenomen en hebben de mogelijkheden verder uitgebreid via gespecialiseerde DLL-modules. De momenteel geïdentificeerde vier verschillende versies van Pteredo kunnen gegevens verzamelen van de geschonden apparaten, externe toegangsverbindingen tot stand brengen en zijn uitgerust met analyse-ontwijkingstechnieken.

Opgemerkt moet worden dat de payloads die worden ingezet bij de aanval op Oekraïense doelen verschillend zijn, maar vergelijkbare acties uitvoeren zodra ze zijn geactiveerd. Elke payload communiceert echter met een ander Command-and-Control (C2, C&C) serveradres. Het waarschijnlijke doel van Gamaredon-hackers is om het opschonen van gerichte apparaten via anti-malwaretools veel moeilijker te maken door het gebruik van iets andere payloads.