吉多姆后门
Giddome 后门威胁是一个以 Shuckworm、 Gamaredon和 Armageddon 为名的网络犯罪组织的有害武器库中的主要内容。恶意软件威胁针对乌克兰的目标部署,其行为与黑客组织之前的活动一致。
攻击操作通过网络钓鱼消息实现了对受害者设备的初始访问,该网络钓鱼消息提供自解压 7-Zip 存档文件,该文件从与 Shuckworm 关联的子域中获取 XML 文件。或者,威胁参与者利用 VBS 下载器来获取威胁有效载荷。除了 Giddome 后门外,网络犯罪分子还部署了Pterodo后门威胁的变体,以及 PowerShell 信息窃取程序的多个变体。恶意软件研究人员在一份报告中向公众发布了有关这些威胁和攻击操作的详细信息。
一旦在受害者的设备上激活,Giddome 就会被指示控制麦克风并进行录音。然后将创建的文件上传到攻击者控制的远程位置。该威胁还能够截取任意屏幕截图并上传它们。为了获取敏感信息,Giddome 可以在设备上建立键盘记录程序,捕获受害者的输入。此外,后门可用于获取 .exe 和 .dll 文件并在被破坏的设备上执行/加载它们,从而使攻击者能够传递额外的有效负载。
据信,Shuckworm 网络犯罪组织与俄罗斯有着密切的联系,如果不是该国联邦安全部队 (FSB) 的一部分的话。归因于 Shuckworm 的活动可以追溯到 2014 年,攻击行动一直针对主要的乌克兰公共和私人实体。自俄罗斯入侵乌克兰以来,黑客在发起网络钓鱼攻击和部署新的恶意软件菌株和变种方面变得更加活跃。
