Giddome Backdoor gekoppeld aan Russische bedreigingsacteur
Beveiligingsonderzoekers van Symantec hebben onlangs een rapport gepubliceerd over nieuwe activiteiten van Russische dreigingsactoren gericht op Oekraïense doelen.
De dreigingsactor is bekend onder verschillende aliassen, waaronder Gamaredon en Shuckworm.
Onderzoekers identificeerden verschillende uitvoerbare bestanden als varianten van de Giddome-achterdeur - een tool die wordt geassocieerd met Shuckworm. Alle bestanden hadden de tekenreeks "ntuser" aan het begin van hun naam. De bestandsextensies waren .VCD en .H264, waarvan de ene een schijfkopiebestandsindeling is en de andere een videobestandsindeling.
De schijfkopie en het videobestand hadden uitvoerbare bestanden van onderliggende processen met dezelfde naam, alleen met de extensie .exe.
De Giddome heeft een uitgebreide reeks kwaadaardige mogelijkheden, waaronder het opnemen en vastleggen van audio met behulp van een microfoon die op het systeem van het slachtoffer te vinden is, het maken van schermafbeeldingen en verzenden naar externe servers, het loggen van toetsaanslagen en het downloaden en uitvoeren van bestanden op afstand.
De recente aanvallen waarbij de Giddome-achterdeur werd gebruikt om entiteiten in Oekraïne aan te vallen, maakten ook gebruik van gecompromitteerde exemplaren van externe desktopbeheertools zoals AnyDesk en Ammyy Admin.
