Giddome Backdoor powiązany z rosyjskim aktorem groźnym
Badacze bezpieczeństwa z firmy Symantec opublikowali niedawno raport na temat nowej działalności prowadzonej przez rosyjskich cyberprzestępców i wymierzonej w cele ukraińskie.
Aktor zagrożenia jest znany pod kilkoma aliasami, w tym Gamaredon i Shuckworm.
Badacze zidentyfikowali kilka różnych plików wykonywalnych jako warianty backdoora Giddome – narzędzia powiązanego z Shuckworm. Wszystkie pliki miały na początku nazwy ciąg „ntuser”. Rozszerzenia plików to .VCD i .H264, z których jedno to format pliku obrazu dysku, a drugie - format pliku wideo.
Obraz dysku i plik wideo zawierały pliki wykonywalne procesu potomnego o tych samych nazwach, tylko z rozszerzeniem .exe.
Giddome ma bogaty zestaw złośliwych możliwości, w tym nagrywanie i przechwytywanie dźwięku za pomocą mikrofonu znajdującego się w systemie ofiary, robienie zrzutów ekranu i wysyłanie ich do zdalnych serwerów, rejestrowanie naciśnięć klawiszy oraz możliwości zdalnego pobierania i wykonywania plików.
Niedawne ataki, w których wykorzystano backdoora Giddome do atakowania podmiotów na Ukrainie, również wykorzystywały skompromitowane wystąpienia narzędzi do zdalnego zarządzania pulpitem, takich jak AnyDesk i Ammyy Admin.