A Giddome Backdoor az orosz fenyegetés színészéhez kapcsolódik

A Symantec biztonsági kutatói a közelmúltban jelentést tettek közzé az orosz fenyegetés szereplői által végzett új tevékenységekről, amelyek ukrán célpontokat céloznak meg.

A fenyegetőző színészt több álnéven ismerik, köztük Gamaredont és Shuckwormot.

A kutatók több különböző futtatható fájlt azonosítottak a Giddome backdoor változataként – egy olyan eszközként, amely a Shuckwormhoz kapcsolódik. Minden fájl nevének elején szerepelt az „ntuser” karakterlánc. A fájlkiterjesztések .VCD és .H264 voltak, az egyik lemezképfájl, a másik pedig egy videofájl formátum.

A lemezkép- és videofájlban azonos nevű, csak .exe kiterjesztésű gyermekfolyamat futtatható fájlok voltak.

A Giddome rosszindulatú képességek gazdag készletével rendelkezik, beleértve a hang rögzítését és rögzítését az áldozat rendszerében található mikrofon segítségével, képernyőképek készítését és elküldését távoli szerverekre, billentyűleütések naplózását, valamint távoli fájlletöltési és -végrehajtási lehetőségeket.

A közelmúltbeli támadások, amelyek a Giddome hátsó ajtót használták az ukrajnai entitások célpontjaira, a távoli asztali felügyeleti eszközök, például az AnyDesk és az Ammyy Admin feltört példányait is használták.