Pteredo Backdoor

Fler skadliga stammar som används i attacker mot ukrainska mål avslöjas av cybersäkerhetsanalytiker. I en rapport avslöjade experter detaljer om en operation av den cyberkriminella gruppen Gamaredon (även spårad som Armageddon/Shuckworm) och deras senaste skadlig programvara som heter Pteredo Backdoor.

Gamaredon tros vara en rysk statssponsrad hotgrupp som har visat kontinuerligt och långvarigt intresse för att inleda attacker mot Ukraina. Dess operationer mot mål i landet kan spåras tillbaka till åtminstone 2014. Sedan dess tros gruppen ha genomfört över 5 000 attackoperationer riktade mot cirka 1 500 statliga, offentliga och privata enheter.

När det gäller skadlig programvara Pteredo (Pteranodon), har analys visat att den troligen är en ättling till en bakdörr som erbjöds på ryska hackerforum. Gamaredon-operatörerna skaffade sig hotet och har ytterligare utökat sin kapacitet via specialiserade DLL-moduler. De för närvarande identifierade fyra olika versionerna av Pteredo kan samla in data från de intrångade enheterna, upprätta fjärråtkomstanslutningar och är utrustade med analys-undvikande tekniker.

Det bör noteras att nyttolasten som används i attacken mot ukrainska mål är olika, men utför liknande åtgärder när de väl har aktiverats. Varje nyttolast kommunicerar dock med en annan Command-and-Control-serveradress (C2, C&C). Det troliga målet för Gamaredon-hackare är att göra rensningen av riktade enheter via anti-malware-verktyg mycket svårare genom att använda lite olika nyttolaster.