Cửa hậu Giddome

Mối đe dọa Giddome Backdoor là một yếu trong kho vũ khí có hại của một tổ chức tội phạm mạng được theo dõi dưới tên Shuckworm, Gamaredon và Armageddon. Mối đe dọa phần mềm độc hại được triển khai nhằm vào các mục tiêu ở Ukraine, hành vi phù hợp với các hoạt động trước đây của nhóm hacker.

Hoạt động tấn công đã đạt được quyền truy cập ban đầu vào thiết bị của nạn nhân thông qua tin nhắn lừa đảo gửi tệp lưu trữ 7-Zip tự giải nén, tệp này đã tìm nạp tệp XML từ miền phụ liên kết với Shuckworm. Ngoài ra, các tác nhân đe dọa đã sử dụng trình tải xuống VBS để tìm nạp các tải trọng đe dọa. Ngoài Giddome Backdoor, tội phạm mạng đã triển khai các biến thể của mối đe dọa từ cửa hậu Pterodo , cũng như một số biến thể của kẻ đánh cắp thông tin PowerShell. Thông tin chi tiết về các mối đe dọa này và hoạt động tấn công đã được các nhà nghiên cứu phần mềm độc hại công bố công khai trong một báo cáo.

Sau khi được kích hoạt trên thiết bị của nạn nhân, Giddome có thể được hướng dẫn kiểm soát micrô và ghi âm. Các tệp được tạo sau đó sẽ được tải lên một vị trí từ xa do những kẻ tấn công kiểm soát. Mối đe dọa cũng có khả năng chụp ảnh màn hình tùy ý và tải chúng lên. Để có được thông tin nhạy cảm, Giddome có thể thiết lập các quy trình ghi nhật ký trên thiết bị, nắm bắt thông tin đầu vào của nạn nhân. Ngoài ra, backdoor có thể được sử dụng để tìm nạp các tệp .exe và .dll và thực thi / tải chúng trên các thiết bị bị vi phạm, mang lại cho những kẻ tấn công khả năng cung cấp các tải trọng bổ sung.

Nhóm tội phạm mạng Shuckworm được cho là có mối liên hệ chặt chẽ với Nga, nếu không phải là một phần của Lực lượng An ninh Liên bang (FSB) của nước này. Các hoạt động do Shuckworm gây ra đã bắt nguồn từ năm 2014 với các hoạt động tấn công liên tục nhắm vào các tổ chức công cộng và tư nhân quan trọng của Ukraine. Kể từ khi Nga xâm lược Ukraine, các tin tặc thậm chí còn trở nên tích cực hơn trong việc phát động các cuộc tấn công lừa đảo và triển khai các chủng và biến thể phần mềm độc hại mới.