Giddome Backdoor ligado a ator russo de ameaças

Pesquisadores de segurança da Symantec publicaram recentemente um relatório sobre novas atividades conduzidas por agentes de ameaças russos e destinadas a alvos ucranianos.

O ator de ameaça é conhecido por vários apelidos, incluindo Gamaredon e Shuckworm.

Os pesquisadores identificaram vários arquivos executáveis diferentes como variantes do backdoor Giddome - uma ferramenta associada ao Shuckworm. Todos os arquivos tinham a string "ntuser" no início de seus nomes. As extensões de arquivo eram .VCD e .H264, sendo um formato de arquivo de imagem de disco e o outro - um formato de arquivo de vídeo.

A imagem de disco e o arquivo de vídeo tinham executáveis de processo filho com os mesmos nomes, apenas com uma extensão .exe.

O Giddome possui um rico conjunto de recursos maliciosos, incluindo gravação e captura de áudio usando um microfone encontrado no sistema da vítima, captura de tela e envio para servidores remotos, registro de pressionamento de tecla e download remoto de arquivos e recursos de execução.

Os ataques recentes que empregaram o backdoor Giddome para direcionar entidades na Ucrânia também usaram instâncias comprometidas de ferramentas de gerenciamento de desktop remoto, como AnyDesk e Ammyy Admin.