Pteredo Backdoor

Więcej szczepów złośliwego oprogramowania wykorzystywanego w atakach na cele ukraińskie jest wykrywanych przez analityków cyberbezpieczeństwa. W raporcie eksperci ujawnili szczegóły dotyczące operacji grupy cyberprzestępczej Gamaredon (śledzonej również jako Armageddon/Shuckworm) i najnowszego szkodliwego oprogramowania o nazwie Pteredo Backdoor.

Uważa się, że Gamaredon jest sponsorowaną przez państwo rosyjską grupą zagrożenia, która wykazuje ciągłe i długotrwałe zainteresowanie atakami na Ukrainę. Jej operacje przeciwko celom w tym kraju można prześledzić co najmniej do 2014 roku. Uważa się, że od tego czasu grupa przeprowadziła ponad 5000 operacji ataku wymierzonych w około 1500 podmiotów rządowych, publicznych i prywatnych.

Jeśli chodzi o szkodliwe oprogramowanie Pteredo (Pteranodon), analiza wykazała, że jest to prawdopodobnie potomek backdoora oferowanego na rosyjskich forach hakerskich. Agenci Gamaredon przejęli zagrożenie i rozszerzyli jego możliwości za pomocą wyspecjalizowanych modułów DLL. Zidentyfikowane obecnie cztery różne wersje Pteredo mogą zbierać dane z naruszonych urządzeń, nawiązywać połączenia zdalnego dostępu i są wyposażone w techniki unikania analizy.

Należy zauważyć, że ładunki użyte do ataku na cele ukraińskie są różne, ale po aktywacji wykonują podobne działania. Jednak każdy ładunek komunikuje się z innym adresem serwera Command-and-Control (C2, C&C). Prawdopodobnym celem hakerów Gamaredon jest utrudnienie czyszczenia docelowych urządzeń za pomocą narzędzi chroniących przed złośliwym oprogramowaniem dzięki użyciu nieco innych ładunków.