Giddome 后门与俄罗斯威胁演员有关
赛门铁克的安全研究人员最近发布了一份关于俄罗斯威胁行为者针对乌克兰目标进行的新活动的报告。
威胁参与者有几个别名,包括 Gamaredon 和 Shuckworm。
研究人员确定了几个不同的可执行文件作为 Giddome 后门的变体——一种与 Shuckworm 相关的工具。所有文件的名称开头都有字符串“ntuser”。文件扩展名是 .VCD 和 .H264,一种是磁盘映像文件格式,另一种是视频文件格式。
磁盘映像和视频文件具有同名的子进程可执行文件,只是扩展名为 .exe。
Giddome 具有丰富的恶意功能,包括使用受害者系统上的麦克风记录和捕获音频、截取屏幕截图并将其发送到远程服务器、击键记录以及远程文件下载和执行功能。
最近使用 Giddome 后门针对乌克兰实体的攻击也使用了远程桌面管理工具(例如 AnyDesk 和 Ammyy Admin)的受感染实例。