Giddome Backdoor
Ang banta ng Giddome Backdoor ay isang staple sa mapaminsalang arsenal ng isang cybercriminal na organisasyon na sinusubaybayan sa ilalim ng mga pangalang Shuckworm, Gamaredon at Armageddon. Ang banta ng malware ay ipinakalat laban sa mga target sa Ukraine, ang pag-uugali na naaayon sa mga nakaraang aktibidad ng pangkat ng hacker.
Nakamit ng operasyon ng pag-atake ang paunang pag-access sa mga device ng mga biktima sa pamamagitan ng mga mensahe ng phishing na naghahatid ng self-extracting 7-Zip archive file, na kumuha ng XML file mula sa isang subdomain na nauugnay sa Shuckworm. Bilang kahalili, ginamit ng mga banta ng aktor ang mga nagda-download ng VBS upang kunin ang mga nagbabantang payload. Bilang karagdagan sa Giddome Backdoor, nag-deploy ang mga cybercriminal ng mga variant ng Pterodo backdoor threat, pati na rin ang ilang variant ng PowerShell info-stealer. Ang mga detalye tungkol sa mga banta na ito at ang operasyon ng pag-atake ay inilabas sa publiko sa isang ulat ng mga mananaliksik ng malware.
Kapag na-activate na sa device ng biktima, maaaring turuan si Giddome na kontrolin ang mikropono at gumawa ng mga audio recording. Ang mga nilikhang file ay maa-upload sa isang malayong lokasyon na kinokontrol ng mga umaatake. Ang banta ay may kakayahang kumuha ng mga arbitrary na screenshot at i-upload din ang mga ito. Upang makakuha ng sensitibong impormasyon, maaaring magtatag si Giddome ng mga gawain sa keylogging sa device, na kumukuha ng mga input ng mga biktima. Bilang karagdagan, ang backdoor ay maaaring gamitin upang kunin ang mga .exe at .dll na file at isagawa/i-load ang mga ito sa mga nalabag na device, na nagbibigay sa mga umaatake ng kakayahang maghatid ng mga karagdagang payload.
Ang Shuckworm cybercriminal group ay pinaniniwalaang mahigpit na konektado sa Russia, kung hindi bahagi ng Federal Security Force (FSB) ng bansa. Ang mga aktibidad na nauugnay sa Shuckworm ay nasubaybayan noong 2014 na ang mga operasyon ng pag-atake ay patuloy na naka-target sa mga pangunahing pampubliko at pribadong entidad ng Ukraine. Mula noong pagsalakay ng Russia sa Ukraine, naging mas aktibo ang mga hacker sa paglulunsad ng mga pag-atake ng phishing at pag-deploy ng mga bagong strain at variant ng malware.
