Gamaredon-hackare Släpp lös Pteredo-bakdörren, rikta in sig på ukrainska nätverk

Flera ryska APT-grupper (Advanced Persistent Threat) har deltagit i attacker mot ukrainska mål under de senaste månaderna. Utöver hackarna från Fancy Bear-gruppen verkar det som om en annan organisation har visat aktivitet – hackargruppen Gamaredon, även känd som Shuckworm. Deras senaste kampanjer riktar sig uteslutande till ukrainska användare, och hackarna använder en del skadlig programvara som kallas Pteredo Backdoor.

Gamaredon-hackarnas aktiviteter har följts sedan 2014, och det är verkligen inte första gången som de beväpnar sin arsenal mot ukrainska mål. I tidigare kampanjer har deras implantat använts i cyberspionageattacker, som riktar sig mot olika statliga enheter och industrier i Ukraina.

Pteredo Backdoor, även kallad Pteranodon, får regelbundna uppdateringar. Minst fyra separata versioner av den har identifierats av cybersäkerhetsforskare. Även om funktionaliteten för alla prover var identisk, verkade de förlita sig på olika kommando-och-kontrollservrar för att ta emot kommandon från och för att exfiltrera data till. Pteredo Backdoor sågs också missbruka förgjorda PowerShell- och VBS-skript för att ytterligare förbättra dess funktionalitet.

Användare kan skydda sig från alla Pteredo Backdoor-varianter genom att använda uppdaterade säkerhetsåtgärder och policyer. Dessutom bör de vara mer försiktiga med onlineinnehållet de interagerar med, och därför minimera sina chanser att ladda ner potentiellt skadliga filer till sin dator.