Giddome Backdoor

Grožnja Giddome Backdoor je stalnica v škodljivem arzenalu kibernetske kriminalne organizacije, ki jo spremljajo pod imeni Shuckworm, Gamaredon in Armageddon. Grožnja zlonamerne programske opreme je razporejena proti tarčam v Ukrajini, vedenje pa je skladno s prejšnjimi dejavnostmi hekerske skupine.

Operacija napada je dosegla začetni dostop do naprav žrtev prek sporočil z lažnim predstavljanjem, ki zagotavljajo samoraztegljivo arhivsko datoteko 7-Zip, ki je pridobila datoteko XML iz poddomene, povezane s Shuckworm. Druga možnost je, da akterji groženj uporabijo prenosnike VBS, da pridobijo nevarne tovore. Poleg backdoorja Giddome so kiberkriminalci uporabili različice backdoor grožnje Pterodo , pa tudi več različic PowerShell info-stealerja. Podrobnosti o teh grožnjah in operaciji napada so v poročilu objavili raziskovalci zlonamerne programske opreme.

Ko je Giddome aktiviran na napravi žrtve, lahko dobi navodilo, da prevzame nadzor nad mikrofonom in naredi zvočne posnetke. Ustvarjene datoteke bi nato naložili na oddaljeno lokacijo, ki bi jo nadzorovali napadalci. Grožnja lahko tudi naredi poljubne posnetke zaslona in jih naloži. Za pridobitev občutljivih informacij lahko Giddome na napravi vzpostavi rutine beleženja tipkovnice in zajame vnose žrtev. Poleg tega se stranska vrata lahko uporabljajo za pridobivanje datotek .exe in .dll ter njihovo izvajanje/nalaganje na napravah, v katerih je prišlo do vdora, kar daje napadalcem možnost, da dostavijo dodatne obremenitve.

Skupina kibernetskih kriminalcev Shuckworm naj bi bila tesno povezana z Rusijo, če že ne del državnih zveznih varnostnih sil (FSB). Dejavnosti, pripisane Shuckwormu, segajo vse do leta 2014, pri čemer so bile operacije napadov vedno usmerjene na ključne javne in zasebne ukrajinske subjekte. Od ruske invazije na Ukrajino so hekerji postali še bolj dejavni pri izvajanju lažnih napadov in uvajanju novih vrst in različic zlonamerne programske opreme.