ロシアの攻撃者にリンクされた Giddome バックドア
シマンテックのセキュリティ研究者は最近、ロシアの攻撃者がウクライナを標的に行った新しい活動に関するレポートを公開しました。
この攻撃者は、Gamaredon や Shuckworm など、いくつかの別名で知られています。
研究者は、Shuckworm に関連するツールである Giddome バックドアの亜種として、いくつかの異なる実行可能ファイルを特定しました。すべてのファイルの名前の先頭に「ntuser」という文字列がありました。ファイル拡張子は .VCD と .H264 で、一方はディスク イメージ ファイル形式で、もう一方はビデオ ファイル形式です。
ディスク イメージとビデオ ファイルには、拡張子が .exe の同じ名前の子プロセス実行可能ファイルが含まれていました。
Giddome には、被害者のシステムにあるマイクを使用した音声の録音とキャプチャ、スクリーンショットの取得とリモート サーバーへの送信、キーストロークのログ記録、リモート ファイルのダウンロードと実行機能など、悪意のある機能が豊富に備わっています。
Giddome バックドアを使用してウクライナのエンティティを標的とした最近の攻撃では、AnyDesk や Ammyy Admin などのリモート デスクトップ管理ツールの侵害されたインスタンスも使用されていました。