Giddome bakdør knyttet til russisk trusselskuespiller
Sikkerhetsforskere med Symantec publiserte nylig en rapport om ny aktivitet utført av russiske trusselaktører og rettet mot ukrainske mål.
Trusselskuespilleren er kjent av flere aliaser, inkludert Gamaredon og Shuckworm.
Forskere identifiserte flere forskjellige kjørbare filer som varianter av Giddome-bakdøren - et verktøy som er assosiert med Shuckworm. Alle filene hadde strengen "ntuser" i starten av navnene. Filtypene var .VCD og .H264, den ene er et diskbildefilformat og den andre - et videofilformat.
Diskbildet og videofilen hadde kjørbare underordnede prosesser med samme navn, bare med en .exe-utvidelse.
Giddomen har et rikt sett med ondsinnede funksjoner, inkludert opptak og fangst av lyd ved hjelp av en mikrofon som finnes på offersystemet, ta skjermbilder og sende dem til eksterne servere, tastetrykklogging og ekstern filnedlasting og kjøringsmuligheter.
De nylige angrepene som brukte Giddome-bakdøren til å målrette enheter i Ukraina, brukte også kompromitterte forekomster av administrasjonsverktøy for eksternt skrivebord som AnyDesk og Ammyy Admin.
