Puerta trasera de Giddome vinculada a actor de amenazas ruso
Los investigadores de seguridad de Symantec publicaron recientemente un informe sobre nuevas actividades realizadas por actores de amenazas rusos y dirigidas a objetivos ucranianos.
El actor de amenazas es conocido por varios alias, incluidos Gamaredon y Shuckworm.
Los investigadores identificaron varios archivos ejecutables diferentes como variantes de la puerta trasera Giddome, una herramienta asociada con Shuckworm. Todos los archivos tenían la cadena "ntuser" al comienzo de sus nombres. Las extensiones de archivo eran .VCD y .H264, una de las cuales era un formato de archivo de imagen de disco y la otra, un formato de archivo de video.
La imagen de disco y el archivo de video tenían ejecutables de procesos secundarios con los mismos nombres, solo que con una extensión .exe.
Giddome tiene un amplio conjunto de capacidades maliciosas que incluyen grabar y capturar audio usando un micrófono que se encuentra en el sistema de la víctima, tomar capturas de pantalla y enviarlas a servidores remotos, registro de pulsaciones de teclas y capacidades remotas de descarga y ejecución de archivos.
Los ataques recientes que emplearon la puerta trasera Giddome para apuntar a entidades en Ucrania también utilizaron instancias comprometidas de herramientas de administración de escritorio remoto como AnyDesk y Ammyy Admin.