Gamaredon-hackers ontketenen de Pteredo-achterdeur en richten zich op Oekraïense netwerken

Meerdere Russische Advanced Persistent Threat (APT)-groepen hebben de afgelopen maanden aanvallen uitgevoerd op Oekraïense doelen. Naast de hackers van de Fancy Bear-groep, lijkt het erop dat een andere organisatie activiteit heeft getoond: de Gamaredon-hackgroep, ook wel bekend als Shuckworm. Hun nieuwste campagnes zijn uitsluitend gericht op Oekraïense gebruikers en de hackers gebruiken een stukje malware dat de Pteredo Backdoor wordt genoemd.

De activiteiten van de Gamaredon-hackers worden sinds 2014 gevolgd en dit is zeker niet de eerste keer dat ze hun arsenaal bewapenen tegen Oekraïense doelen. In eerdere campagnes zijn hun implantaten gebruikt bij cyberspionageaanvallen, gericht op verschillende overheidsinstanties en industrieën in Oekraïne.

De Pteredo Backdoor, ook wel Pteranodon genoemd, krijgt regelmatig updates. Er zijn minstens vier afzonderlijke versies ervan geïdentificeerd door cybersecurity-onderzoekers. Hoewel de functionaliteit van alle voorbeelden identiek was, leken ze te vertrouwen op verschillende command-and-control-servers om opdrachten te ontvangen van en om gegevens naar te exfiltreren. De Pteredo Backdoor maakte ook misbruik van vooraf gemaakte PowerShell- en VBS-scripts om de functionaliteit verder te verbeteren.

Gebruikers kunnen beschermd blijven tegen alle Pteredo Backdoor-varianten door gebruik te maken van up-to-date beveiligingsmaatregelen en beleid. Bovendien moeten ze voorzichtiger zijn met de online inhoud waarmee ze communiceren, waardoor ze de kans verkleinen dat ze potentieel schadelijke bestanden op hun computer downloaden.