Les hackers de Gamaredon libèrent la porte dérobée Pteredo et ciblent les réseaux ukrainiens

Plusieurs groupes russes de menace persistante avancée (APT) se sont lancés dans des attaques contre des cibles ukrainiennes au cours des derniers mois. En plus des pirates du groupe Fancy Bear, il semble qu'une autre organisation ait fait preuve d'activité - le groupe de piratage Gamaredon, également connu sous le nom de Shuckworm. Leurs dernières campagnes ciblent exclusivement les utilisateurs ukrainiens, et les pirates utilisent un logiciel malveillant appelé Pteredo Backdoor.

Les activités des hackers de Gamaredon sont suivies depuis 2014, et ce n'est certainement pas la première fois qu'ils militarisent leur arsenal contre des cibles ukrainiennes. Lors de campagnes précédentes, leurs implants ont été utilisés dans des attaques de cyberespionnage, qui ciblent diverses entités gouvernementales et industries en Ukraine.

Le Pteredo Backdoor, également appelé Pteranodon, reçoit des mises à jour régulières. Au moins quatre versions distinctes de celui-ci ont été identifiées par des chercheurs en cybersécurité. Alors que la fonctionnalité de tous les échantillons était identique, ils semblaient s'appuyer sur différents serveurs de commande et de contrôle pour recevoir des commandes et vers lesquels exfiltrer des données. La porte dérobée Pteredo a également été vue abusant de scripts PowerShell et VBS prédéfinis pour améliorer encore ses fonctionnalités.

Les utilisateurs peuvent rester à l'abri de toutes les variantes de Pteredo Backdoor en utilisant des mesures et des politiques de sécurité à jour. De plus, ils doivent être plus prudents avec le contenu en ligne avec lequel ils interagissent, minimisant ainsi leurs chances de télécharger des fichiers potentiellement dangereux sur leur ordinateur.