Giddome bakdörr länkad till rysk hotskådespelare
Säkerhetsforskare med Symantec publicerade nyligen en rapport om ny verksamhet utförd av ryska hotaktörer och riktad mot ukrainska mål.
Hotaktören är känd av flera alias, inklusive Gamaredon och Shuckworm.
Forskare identifierade flera olika körbara filer som varianter av Giddome-bakdörren - ett verktyg som är associerat med Shuckworm. Alla filer hade strängen "ntuser" i början av sina namn. Filtilläggen var .VCD och .H264, den ena är ett filformat för skivavbildningar och den andra - ett videofilformat.
Skivbilden och videofilen hade underordnade processkörbara filer med samma namn, bara med filtillägget .exe.
Giddomen har en rik uppsättning skadliga funktioner, inklusive att spela in och fånga ljud med hjälp av en mikrofon som finns på offersystemet, ta skärmdumpar och skicka dem till fjärrservrar, tangenttryckningsloggning och fjärrnedladdning av filer och exekveringsmöjligheter.
De senaste attackerna som använde Giddome-bakdörren för att rikta in sig på enheter i Ukraina använde även komprometterade instanser av fjärrskrivbordshanteringsverktyg som AnyDesk och Ammyy Admin.