Giddome bagdør knyttet til russisk trusselskuespiller
Sikkerhedsforskere med Symantec har for nylig offentliggjort en rapport om ny aktivitet udført af russiske trusselsaktører og rettet mod ukrainske mål.
Trusselsskuespilleren er kendt af flere aliaser, herunder Gamaredon og Shuckworm.
Forskere identificerede flere forskellige eksekverbare filer som varianter af Giddome-bagdøren - et værktøj, der er forbundet med Shuckworm. Alle filer havde strengen "ntuser" i starten af deres navne. Filtypenavnene var .VCD og .H264, hvor den ene er et diskimage-filformat og den anden - et videofilformat.
Diskbilledet og videofilen havde underordnede proces-eksekverbare filer med de samme navne, kun med en .exe-udvidelse.
Giddomen har et rigt sæt af ondsindede funktioner, herunder optagelse og optagelse af lyd ved hjælp af en mikrofon fundet på offersystemet, tage skærmbilleder og sende dem til eksterne servere, tastetrykslogning og fjerndownload af filer og eksekveringsmuligheder.
De seneste angreb, der brugte Giddome-bagdøren til at målrette enheder i Ukraine, brugte også kompromitterede forekomster af fjernskrivebordsadministrationsværktøjer såsom AnyDesk og Ammyy Admin.