吉多姆後門
Giddome 後門威脅是一個以 Shuckworm、 Gamaredon和 Armageddon 為名的網絡犯罪組織的有害武器庫中的主要內容。惡意軟件威脅針對烏克蘭的目標部署,其行為與黑客組織之前的活動一致。
攻擊操作通過網絡釣魚消息實現了對受害者設備的初始訪問,該網絡釣魚消息提供自解壓 7-Zip 存檔文件,該文件從與 Shuckworm 關聯的子域中獲取 XML 文件。或者,威脅參與者利用 VBS 下載器來獲取威脅有效載荷。除了 Giddome 後門之外,網絡犯罪分子還部署了Pterodo後門威脅的變體,以及 PowerShell 信息竊取程序的多個變體。惡意軟件研究人員在一份報告中向公眾發布了有關這些威脅和攻擊操作的詳細信息。
一旦在受害者的設備上激活,Giddome 就會被指示控制麥克風並進行錄音。然後將創建的文件上傳到攻擊者控制的遠程位置。該威脅還能夠截取任意屏幕截圖並上傳它們。為了獲取敏感信息,Giddome 可以在設備上建立鍵盤記錄程序,捕獲受害者的輸入。此外,後門可用於獲取 .exe 和 .dll 文件並在被破壞的設備上執行/加載它們,從而使攻擊者能夠傳遞額外的有效負載。
據信,Shuckworm 網絡犯罪組織與俄羅斯有著密切的聯繫,如果不是該國聯邦安全部隊 (FSB) 的一部分的話。歸因於 Shuckworm 的活動可以追溯到 2014 年,攻擊行動一直針對主要的烏克蘭公共和私人實體。自俄羅斯入侵烏克蘭以來,黑客在發起網絡釣魚攻擊和部署新的惡意軟件菌株和變種方面變得更加活躍。
