Giddom Backdoor collegato all'attore di minaccia russo
I ricercatori di sicurezza di Symantec hanno recentemente pubblicato un rapporto sulla nuova attività condotta da attori russi delle minacce e mirata a obiettivi ucraini.
L'attore della minaccia è conosciuto con diversi pseudonimi, tra cui Gamaredon e Shuckworm.
I ricercatori hanno identificato diversi file eseguibili come varianti della backdoor di Giddome, uno strumento associato a Shuckworm. Tutti i file avevano la stringa "ntuser" all'inizio dei loro nomi. Le estensioni dei file erano .VCD e .H264, una era un formato di file di immagine del disco e l'altra un formato di file video.
L'immagine del disco e il file video avevano eseguibili di processo figlio con gli stessi nomi, solo con estensione .exe.
Il Giddome ha una ricca serie di funzionalità dannose, tra cui la registrazione e l'acquisizione di audio utilizzando un microfono trovato nel sistema della vittima, l'acquisizione di schermate e l'invio a server remoti, la registrazione delle sequenze di tasti e il download e l'esecuzione di file remoti.
I recenti attacchi che hanno utilizzato la backdoor di Giddom per prendere di mira entità in Ucraina hanno utilizzato anche istanze compromesse di strumenti di gestione del desktop remoto come AnyDesk e Ammyy Admin.