賽門鐵克的安全研究人員最近發布了一份關於俄羅斯威脅行為者針對烏克蘭目標進行的新活動的報告。
威脅參與者有幾個別名,包括 Gamaredon 和 Shuckworm。
研究人員確定了幾個不同的可執行文件作為 Giddome 後門的變體——一種與 Shuckworm 相關的工具。所有文件的名稱開頭都有字符串“ntuser”。文件擴展名是 .VCD 和 .H264,一種是磁盤映像文件格式,另一種是視頻文件格式。
磁盤映像和視頻文件具有同名的子進程可執行文件,只是擴展名為 .exe。
Giddome 具有豐富的惡意功能,包括使用受害者係統上的麥克風錄製和捕獲音頻、截取屏幕截圖並將其發送到遠程服務器、擊鍵記錄以及遠程文件下載和執行功能。
最近使用 Giddome 後門針對烏克蘭實體的攻擊也使用了遠程桌面管理工具(例如 AnyDesk 和 Ammyy Admin)的受感染實例。
© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.
Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82,
Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.
Windows 是 Microsoft 在美国和其他国家/地区注册的商标。
Mac、iPhone、iPad 和 App Store 是 Apple Inc. 在美国和其他国家/地区注册的商标。
iOS 是 Cisco Systems, Inc. 和/或其附属公司在美国和某些其他国家/地区的注册商标。
Android 和 Google Play 是 Google LLC 的商标。
