Бэкдор Giddome связан с российским злоумышленником
Исследователи безопасности из Symantec недавно опубликовали отчет о новой деятельности российских злоумышленников, направленной против украинских целей.
Злоумышленник известен под несколькими псевдонимами, включая Gamaredon и Shuckworm.
Исследователи идентифицировали несколько различных исполняемых файлов как варианты бэкдора Giddome — инструмента, связанного с Shuckworm. Все файлы имели строку «ntuser» в начале своего имени. Расширения файлов были .VCD и .H264, одно из которых было форматом файла образа диска, а другое - форматом видеофайла.
Образ диска и видеофайл имели исполняемые файлы дочерних процессов с теми же именами, только с расширением .exe.
Giddome обладает богатым набором вредоносных возможностей, включая запись и захват звука с помощью микрофона, обнаруженного в системе жертвы, создание снимков экрана и отправку их на удаленные серверы, регистрацию нажатий клавиш, а также удаленную загрузку и выполнение файлов.
В недавних атаках с использованием бэкдора Giddome для атак на организации в Украине также использовались скомпрометированные экземпляры инструментов управления удаленным рабочим столом, таких как AnyDesk и Ammyy Admin.