Giddome Backdoor susijęs su Rusijos grėsmės aktoriumi
„Symantec“ saugumo tyrinėtojai neseniai paskelbė ataskaitą apie naują Rusijos grėsmės veikėjų veiklą, nukreiptą į Ukrainos taikinius.
Grėsmių aktorius žinomas keliais slapyvardžiais, įskaitant Gamaredoną ir Shuckwormą.
Tyrėjai nustatė keletą skirtingų vykdomųjų failų kaip Giddome backdoor – įrankio, susieto su Shuckworm – variantus. Visų failų pavadinimų pradžioje buvo eilutė „ntuser“. Failų plėtiniai buvo .VCD ir .H264, vienas yra disko vaizdo failo formatas, o kitas - vaizdo failo formatas.
Disko vaizdas ir vaizdo failas turėjo antrinių procesų vykdomuosius failus tais pačiais pavadinimais, tik su plėtiniu .exe.
„Giddome“ turi daugybę kenkėjiškų galimybių, įskaitant garso įrašymą ir fiksavimą naudojant mikrofoną, esantį aukos sistemoje, ekrano kopijų darymą ir siuntimą į nuotolinius serverius, klavišų paspaudimų registravimą ir nuotolinio failų atsisiuntimo bei vykdymo galimybes.
Pastarosiose atakose, kurių metu buvo panaudotos „Giddome“ užpakalinės durys, skirtos subjektams Ukrainoje, taip pat buvo naudojami pažeisti nuotolinio darbalaukio valdymo įrankiai, tokie kaip „AnyDesk“ ir „Ammyy Admin“.