Giddome bakdörr

Giddome Backdoor-hotet är en stapelvara i den skadliga arsenalen hos en cyberkriminell organisation som spåras under namnen Shuckworm, Gamaredon och Armageddon. Hotet med skadlig programvara är utplacerat mot mål i Ukraina, beteende som överensstämmer med hackergruppens tidigare aktiviteter.

Attackoperationen uppnådde initial åtkomst till offrens enheter via nätfiskemeddelanden som levererade en självextraherande 7-Zip-arkivfil, som hämtade en XML-fil från en underdomän associerad med Shuckworm. Alternativt använde hotaktörerna VBS-nedladdare för att hämta de hotande nyttolasterna. Utöver Giddome-bakdörren, distribuerade cyberkriminella varianter av Pterodo- bakdörrshotet, såväl som flera varianter av en PowerShell-info-stjälare. Detaljer om dessa hot och attackoperationen släpptes till allmänheten i en rapport från skadlig programvara forskare.

När den väl har aktiverats på offrets enhet kan Giddome instrueras att ta kontroll över mikrofonen och göra ljudinspelningar. De skapade filerna skulle sedan laddas upp till en fjärrplats som kontrolleras av angriparna. Hotet kan också ta godtyckliga skärmdumpar och ladda upp dem också. För att få känslig information kan Giddome upprätta nyckelloggningsrutiner på enheten och fånga in offrens indata. Dessutom kan bakdörren användas för att hämta .exe- och .dll-filer och exekvera/ladda dem på enheterna som har brutits, vilket ger angriparna möjlighet att leverera ytterligare nyttolaster.

Den cyberkriminella gruppen Shuckworm tros vara nära kopplad till Ryssland, om inte en del av landets federala säkerhetsstyrka (FSB). Aktiviteter som tillskrivs Shuckworm har spårats tillbaka så långt som till 2014, där attackoperationerna konsekvent har riktats mot viktiga offentliga och privata ukrainska enheter. Sedan den ryska invasionen av Ukraina har hackarna blivit ännu mer aktiva i att lansera nätfiskeattacker och distribuera nya skadlig programvara och varianter.