Giddome Backdoor

Hrozba Giddome Backdoor je základom škodlivého arzenálu kyberzločineckej organizácie sledovanej pod názvami Shuckworm, Gamaredon a Armageddon. Malvérová hrozba je nasadená proti cieľom na Ukrajine, pričom správanie je v súlade s predchádzajúcimi aktivitami hackerskej skupiny.

Operácia útoku dosiahla počiatočný prístup k zariadeniam obetí prostredníctvom phishingových správ, ktoré doručili samorozbaľovací archívny súbor 7-Zip, ktorý stiahol súbor XML zo subdomény spojenej s Shuckworm. Prípadne aktéri hrozieb využívali sťahovacie programy VBS na načítanie hrozivých dát. Okrem Giddome Backdoor nasadili kyberzločinci aj varianty hrozby Pterodo backdoor, ako aj niekoľko variantov PowerShell info-stealer. Podrobnosti o týchto hrozbách a operácii útoku zverejnili v správe výskumníci škodlivého softvéru.

Po aktivácii na zariadení obete môže byť Giddome inštruovaný, aby prevzal kontrolu nad mikrofónom a urobil zvukové nahrávky. Vytvorené súbory by sa potom nahrali na vzdialené miesto kontrolované útočníkmi. Hrozba je tiež schopná vytvárať ľubovoľné snímky obrazovky a tiež ich nahrávať. Na získanie citlivých informácií môže Giddome na zariadení zaviesť rutiny zaznamenávania kľúčov, ktoré zachytávajú vstupy obetí. Okrem toho je možné zadné vrátka použiť na načítanie súborov .exe a .dll a ich spustenie/načítanie na narušených zariadeniach, čo útočníkom dáva možnosť doručiť ďalšie užitočné zaťaženie.

Predpokladá sa, že kyberzločinecká skupina Shuckworm je úzko prepojená s Ruskom, ak nie je súčasťou Federálnych bezpečnostných síl (FSB) krajiny. Činnosti pripisované Shuckwormovi siahajú až do roku 2014, pričom útočné operácie sa neustále zameriavali na kľúčové verejné a súkromné ukrajinské subjekty. Od ruskej invázie na Ukrajinu sa hackeri stali ešte aktívnejšími pri spúšťaní phishingových útokov a nasadzovaní nových kmeňov a variantov malvéru.