Гиддом Бэкдор

Угроза Giddome Backdoor является основным продуктом вредоносного арсенала киберпреступной организации, отслеживаемой под именами Shuckworm, Gamaredon и Armageddon. Вредоносная угроза развернута против целей в Украине, поведение согласуется с предыдущими действиями хакерской группы.

Операция атаки обеспечила первоначальный доступ к устройствам жертв с помощью фишинговых сообщений, доставляющих самораспаковывающийся архивный файл 7-Zip, который извлек файл XML из поддомена, связанного с Shuckworm. В качестве альтернативы злоумышленники использовали загрузчики VBS для получения угрожающих полезных данных. Помимо бэкдора Giddome, злоумышленники развернули варианты бэкдора-угрозы Pterodo , а также несколько вариантов кражи информации PowerShell. Подробности об этих угрозах и операции атаки были обнародованы в отчете исследователей вредоносных программ.

После активации на устройстве жертвы Гиддому можно дать указание взять под контроль микрофон и делать аудиозаписи. Затем созданные файлы будут загружены в удаленное место, контролируемое злоумышленниками. Угроза также способна делать произвольные скриншоты и загружать их. Чтобы получить конфиденциальную информацию, Giddome может установить на устройстве процедуры регистрации клавиатуры, перехватывая входные данные жертв. Кроме того, бэкдор можно использовать для извлечения файлов .exe и .dll и выполнения/загрузки их на взломанные устройства, что дает злоумышленникам возможность доставлять дополнительные полезные нагрузки.

Считается, что киберпреступная группировка Shuckworm тесно связана с Россией, если не является частью Федеральной службы безопасности (ФСБ) страны. Действия, приписываемые Shuckworm, восходят к 2014 году, когда атаки постоянно были нацелены на ключевые государственные и частные украинские организации. После российского вторжения в Украину хакеры стали еще активнее проводить фишинговые атаки и внедрять новые штаммы и варианты вредоносных программ.