Giddome Backdoor

ภัยคุกคาม Giddome Backdoor เป็นส่วนประกอบหลักในคลังแสงที่เป็นอันตรายขององค์กรอาชญากรไซเบอร์ที่ติดตามภายใต้ชื่อ Shuckworm, Gamaredon และ Armageddon ภัยคุกคามจากมัลแวร์ถูกนำไปใช้กับเป้าหมายในยูเครน ซึ่งเป็นพฤติกรรมที่สอดคล้องกับกิจกรรมก่อนหน้าของกลุ่มแฮ็กเกอร์

การโจมตีประสบความสำเร็จในการเข้าถึงอุปกรณ์ของเหยื่อในขั้นต้นผ่านข้อความฟิชชิ่งซึ่งส่งไฟล์เก็บถาวร 7-Zip แบบขยายตัวเอง ซึ่งดึงไฟล์ XML จากโดเมนย่อยที่เกี่ยวข้องกับ Shuckworm อีกทางหนึ่ง ผู้คุกคามใช้โปรแกรมดาวน์โหลด VBS เพื่อดึงข้อมูลเพย์โหลดที่คุกคาม นอกจาก Giddome Backdoor แล้ว อาชญากรไซเบอร์ยังปรับใช้ภัยคุกคามจากช่อง โหว่ Pterodo รวมถึงโปรแกรมขโมยข้อมูล PowerShell อีกหลายรูปแบบ รายละเอียดเกี่ยวกับภัยคุกคามเหล่านี้และการดำเนินการโจมตีถูกเปิดเผยต่อสาธารณะในรายงานโดยนักวิจัยมัลแวร์

เมื่อเปิดใช้งานบนอุปกรณ์ของเหยื่อแล้ว Giddome สามารถสั่งให้ควบคุมไมโครโฟนและทำการบันทึกเสียงได้ ไฟล์ที่สร้างขึ้นจะถูกอัปโหลดไปยังตำแหน่งระยะไกลที่ควบคุมโดยผู้โจมตี ภัยคุกคามยังสามารถจับภาพหน้าจอตามอำเภอใจและอัปโหลดได้เช่นกัน เพื่อให้ได้ข้อมูลที่ละเอียดอ่อน Giddome สามารถสร้างรูทีนการล็อกคีย์บนอุปกรณ์ เพื่อเก็บข้อมูลของเหยื่อ นอกจากนี้ แบ็คดอร์ยังสามารถใช้เพื่อดึงไฟล์ .exe และ .dll และดำเนินการ/โหลดไฟล์บนอุปกรณ์ที่ถูกเจาะระบบ ทำให้ผู้โจมตีสามารถส่งมอบเพย์โหลดเพิ่มเติมได้

กลุ่มอาชญากรไซเบอร์ของ Shuckworm เชื่อกันว่ามีความเชื่อมโยงกับรัสเซียอย่างแน่นหนา หากไม่ได้เป็นส่วนหนึ่งของกองกำลังความมั่นคงแห่งสหพันธรัฐ (FSB) ของประเทศ กิจกรรมที่เกิดจาก Shuckworm ได้สืบย้อนไปถึงปี 2014 ด้วยการโจมตีที่มุ่งเป้าไปที่หน่วยงานหลักของยูเครนทั้งภาครัฐและเอกชน นับตั้งแต่รัสเซียบุกยูเครน แฮกเกอร์เริ่มโจมตีด้วยฟิชชิ่งและปรับใช้มัลแวร์สายพันธุ์ใหม่และรูปแบบต่างๆ มากขึ้น