Гиддоме Бацкдоор

Претња Гиддоме Бацкдоор је главна компонента у штетном арсеналу сајбер криминалне организације која се прати под именима Схуцкворм, Гамаредон и Армагеддон. Претња злонамерног софтвера је распоређена на мете у Украјини, понашање у складу са претходним активностима хакерске групе.

Операција напада је постигла почетни приступ уређајима жртава путем пхисхинг порука које су испоручивале самораспакујућу 7-Зип архивску датотеку, која је преузела КСМЛ датотеку са поддомена повезаног са Схуцквормом. Алтернативно, актери претњи су користили ВБС програме за преузимање да дохвате претеће корисне податке. Поред Гиддоме Бацкдоор-а, сајбер-криминалци су применили варијанте Птеродо бацкдоор претње, као и неколико варијанти ПоверСхелл-ове крађе информација. Детаљи о овим претњама и операцији напада објављени су јавности у извештају истраживача малвера.

Када се активира на уређају жртве, Гиддоме може добити инструкције да преузме контролу над микрофоном и направи аудио снимке. Створене датотеке би затим биле отпремљене на удаљену локацију коју контролишу нападачи. Претња такође може да направи произвољне снимке екрана и да их такође отпреми. Да би добио осетљиве информације, Гиддоме може успоставити рутине вођења кључева на уређају, хватајући уносе жртава. Поред тога, бацкдоор се може користити за преузимање .еке и .длл датотека и њихово извршавање/учитавање на оштећеним уређајима, дајући нападачима могућност да испоруче додатне корисне податке.

Верује се да је група кибернетичких криминалаца Схуцкворм тесно повезана са Русијом, ако не и део Федералних безбедносних снага (ФСБ) земље. Активности које се приписују Схуцкворму селе су још од 2014. године, а операције напада су стално биле на мети кључних јавних и приватних украјинских ентитета. Од руске инвазије на Украјину, хакери су постали још активнији у покретању фишинг напада и постављању нових врста и варијанти малвера.