Ușa din spate Giddome

Amenințarea Giddome Backdoor este o bază din arsenalul dăunător al unei organizații criminale cibernetice urmărită sub numele Shuckworm, Gamaredon și Armageddon. Amenințarea malware este implementată împotriva țintelor din Ucraina, comportament în concordanță cu activitățile anterioare ale grupului de hackeri.

Operațiunea de atac a obținut accesul inițial la dispozitivele victimelor prin intermediul unor mesaje de phishing care furnizează un fișier de arhivă 7-Zip autoextractabil, care a preluat un fișier XML dintr-un subdomeniu asociat cu Shuckworm. Alternativ, actorii amenințărilor au folosit descărcatoare VBS pentru a prelua încărcăturile utile amenințătoare. În plus față de Backdoor Giddome, infractorii cibernetici au implementat variante ale amenințării Pterodo , precum și mai multe variante ale unui furt de informații PowerShell. Detalii despre aceste amenințări și operațiunea de atac au fost făcute publice într-un raport al cercetătorilor de malware.

Odată activat pe dispozitivul victimei, Giddome poate fi instruit să preia controlul asupra microfonului și să facă înregistrări audio. Fișierele create vor fi apoi încărcate într-o locație de la distanță controlată de atacatori. De asemenea, amenințarea este capabilă să facă capturi de ecran arbitrare și să le încarce. Pentru a obține informații sensibile, Giddome poate stabili rutine de înregistrare a tastelor pe dispozitiv, captând intrările victimelor. În plus, ușa din spate poate fi folosită pentru a prelua fișiere .exe și .dll și pentru a le executa/încărca pe dispozitivele violate, oferind atacatorilor posibilitatea de a livra încărcături suplimentare.

Se crede că grupul de criminali cibernetici Shuckworm este strâns legat de Rusia, dacă nu face parte din Forța Federală de Securitate (FSB) a țării. Activitățile atribuite lui Shuckworm au avut loc încă din 2014, operațiunile de atac fiind în mod constant vizate de entități-cheie publice și private ucrainene. De la invazia rusă a Ucrainei, hackerii au devenit și mai activi în lansarea atacurilor de tip phishing și în implementarea de noi tulpini și variante de malware.