Giddome 後門與俄羅斯威脅演員有關
賽門鐵克的安全研究人員最近發布了一份關於俄羅斯威脅行為者針對烏克蘭目標進行的新活動的報告。
威脅參與者有幾個別名,包括 Gamaredon 和 Shuckworm。
研究人員確定了幾個不同的可執行文件作為 Giddome 後門的變體——一種與 Shuckworm 相關的工具。所有文件的名稱開頭都有字符串“ntuser”。文件擴展名是 .VCD 和 .H264,一種是磁盤映像文件格式,另一種是視頻文件格式。
磁盤映像和視頻文件具有同名的子進程可執行文件,只是擴展名為 .exe。
Giddome 具有豐富的惡意功能,包括使用受害者係統上的麥克風錄製和捕獲音頻、截取屏幕截圖並將其發送到遠程服務器、擊鍵記錄以及遠程文件下載和執行功能。
最近使用 Giddome 後門針對烏克蘭實體的攻擊也使用了遠程桌面管理工具(例如 AnyDesk 和 Ammyy Admin)的受感染實例。