Το Giddome Backdoor συνδέεται με τον Ρώσο ηθοποιό απειλών

Ερευνητές ασφαλείας της Symantec δημοσίευσαν πρόσφατα μια έκθεση σχετικά με τη νέα δραστηριότητα που διεξάγεται από Ρώσους παράγοντες απειλών και στοχεύει σε ουκρανικούς στόχους.

Ο ηθοποιός της απειλής είναι γνωστός με πολλά ψευδώνυμα, συμπεριλαμβανομένων των Gamaredon και Shuckworm.

Οι ερευνητές αναγνώρισαν πολλά διαφορετικά εκτελέσιμα αρχεία ως παραλλαγές του Giddome backdoor - ένα εργαλείο που σχετίζεται με το Shuckworm. Όλα τα αρχεία είχαν τη συμβολοσειρά "ntuser" στην αρχή των ονομάτων τους. Οι επεκτάσεις αρχείων ήταν .VCD και .H264, η μία ήταν μορφή αρχείου εικόνας δίσκου και η άλλη μορφή αρχείου βίντεο.

Η εικόνα δίσκου και το αρχείο βίντεο είχαν εκτελέσιμα αρχεία θυγατρικής διεργασίας με τα ίδια ονόματα, μόνο με επέκταση .exe.

Το Giddome έχει ένα πλούσιο σύνολο κακόβουλων δυνατοτήτων, όπως εγγραφή και λήψη ήχου με χρήση μικροφώνου που βρίσκεται στο σύστημα του θύματος, λήψη στιγμιότυπων οθόνης και αποστολή τους σε απομακρυσμένους διακομιστές, καταγραφή πληκτρολόγησης και απομακρυσμένη λήψη και εκτέλεση αρχείων.

Οι πρόσφατες επιθέσεις που χρησιμοποίησαν το backdoor Giddome για να στοχεύουν οντότητες στην Ουκρανία χρησιμοποίησαν επίσης παραβιασμένες περιπτώσεις εργαλείων διαχείρισης απομακρυσμένης επιφάνειας εργασίας, όπως το AnyDesk και το Ammyy Admin.