Бекдор Giddome

Загроза Giddome Backdoor є основною частиною шкідливого арсеналу кіберзлочинної організації, яку відстежують під назвами Shuckworm, Gamaredon і Armageddon. Зловмисне програмне забезпечення розгортається проти цілей в Україні, поведінка відповідає попереднім діям хакерської групи.

Операція атаки досягла початкового доступу до пристроїв жертв за допомогою фішингових повідомлень, які доставляли архівний файл 7-Zip, що саморозпаковується, який отримував XML-файл із субдомену, пов’язаного з Shuckworm. Крім того, зловмисники використовували завантажувачі VBS для отримання загрозливих корисних даних. Окрім бекдору Giddome, кіберзлочинці розгорнули варіанти бекдор-загрози Pterodo , а також кілька варіантів інформаційного викрадача PowerShell. Подробиці про ці загрози та операцію атаки були оприлюднені у звіті дослідників шкідливого ПЗ.

Після активації на пристрої жертви Giddome можна наказати взяти під контроль мікрофон і робити аудіозаписи. Потім створені файли завантажувалися у віддалене місце, контрольоване зловмисниками. Загроза також здатна робити довільні знімки екрана та завантажувати їх. Щоб отримати конфіденційну інформацію, Giddome може встановлювати процедури клавіатурного журналу на пристрої, фіксуючи дані, введені жертвами. Крім того, бекдор можна використовувати для отримання файлів .exe і .dll і їх виконання/завантаження на зламаних пристроях, надаючи зловмисникам можливість доставляти додаткові корисні навантаження.

Вважається, що кіберзлочинна група Shuckworm тісно пов’язана з Росією, якщо не є частиною Федеральних сил безпеки країни (ФСБ). Діяльність, яку приписують Shuckworm, ведеться ще з 2014 року, при цьому напади постійно були націлені на ключові державні та приватні українські організації. Після російського вторгнення в Україну хакери стали ще активнішими у запуску фішингових атак і розгортанні нових штамів і варіантів шкідливого програмного забезпечення.