Pteredo Backdoor

Outros tipos de malware utilizados em ataques contra alvos ucranianos estão sendo descobertos por analistas de segurança cibernética. Em um relatório, especialistas revelaram detalhes sobre uma operação do grupo cibercriminoso Gamaredon (também rastreado como Armageddon/Shuckworm) e sua mais recente criação de malware chamada Pteredo Backdoor.

Acredita-se que o Gamaredon seja um grupo de ameaças patrocinado pelo Estado russo que demonstrou interesse contínuo e prolongado em lançar ataques contra a Ucrânia. Suas operações contra alvos no país podem ser rastreadas até pelo menos 2014. Desde então, acredita-se que o grupo tenha realizado mais de 5.000 operações de ataque visando aproximadamente 1.500 entidades governamentais, públicas e privadas.

Quanto ao malware Pteredo (Pteranodon), a análise revelou que provavelmente é um descendente de um backdoor que foi oferecido em fóruns de hackers russos. Os agentes da Gamaredon adquiriram a ameaça e expandiram ainda mais suas capacidades por meio de módulos DLL especializados. As quatro versões diferentes do Pteredo atualmente identificadas podem coletar dados dos dispositivos violados, estabelecer conexões de acesso remoto e estão equipadas com técnicas de evasão de análise.

Deve-se notar que as cargas úteis implantadas no ataque contra alvos ucranianos são diferentes, mas executam ações semelhantes uma vez ativadas. No entanto, cada carga útil se comunica com um endereço de servidor de Comando e Controle (C2, C&C) diferente. O provável objetivo dos hackers do Gamaredon é tornar a limpeza de dispositivos direcionados por meio de ferramentas anti-malware muito mais difícil por meio do uso de cargas úteis ligeiramente diferentes.