Giddome Backdoor lié à un acteur de la menace russe
Les chercheurs en sécurité de Symantec ont récemment publié un rapport sur une nouvelle activité menée par des acteurs de la menace russe et visant des cibles ukrainiennes.
L'acteur menaçant est connu sous plusieurs pseudonymes, dont Gamaredon et Shuckworm.
Les chercheurs ont identifié plusieurs fichiers exécutables différents comme des variantes de la porte dérobée Giddome - un outil associé à Shuckworm. Tous les fichiers avaient la chaîne "ntuser" au début de leur nom. Les extensions de fichier étaient .VCD et .H264, l'une étant un format de fichier image disque et l'autre - un format de fichier vidéo.
L'image disque et le fichier vidéo avaient des exécutables de processus enfants portant les mêmes noms, uniquement avec une extension .exe.
Le Giddome dispose d'un riche ensemble de capacités malveillantes, notamment l'enregistrement et la capture audio à l'aide d'un microphone trouvé sur le système victime, la prise de captures d'écran et leur envoi vers des serveurs distants, l'enregistrement des frappes au clavier et les capacités de téléchargement et d'exécution de fichiers à distance.
Les récentes attaques qui ont utilisé la porte dérobée Giddome pour cibler des entités en Ukraine ont également utilisé des instances compromises d'outils de gestion de bureau à distance tels que AnyDesk et Ammyy Admin.