Giddome-Hintertür

Die Giddome Backdoor-Bedrohung ist ein fester Bestandteil des schädlichen Arsenals einer cyberkriminellen Organisation, die unter den Namen Shuckworm, Gamaredon und Armageddon verfolgt wird. Die Malware-Bedrohung wird gegen Ziele in der Ukraine eingesetzt, ein Verhalten, das mit den früheren Aktivitäten der Hackergruppe übereinstimmt.

Die Angriffsoperation erreichte den ersten Zugriff auf die Geräte der Opfer über Phishing-Nachrichten, die eine selbstextrahierende 7-Zip-Archivdatei lieferten, die eine XML-Datei von einer mit Shuckworm verbundenen Subdomain abholte. Alternativ nutzten die Bedrohungsakteure VBS-Downloader, um die bedrohlichen Payloads abzurufen. Zusätzlich zur Giddome-Backdoor setzten die Cyberkriminellen Varianten der Pterodo- Backdoor-Bedrohung sowie mehrere Varianten eines PowerShell-Infostealers ein. Details zu diesen Bedrohungen und der Angriffsoperation wurden in einem Bericht von Malware-Forschern veröffentlicht.

Nach der Aktivierung auf dem Gerät des Opfers kann Giddome angewiesen werden, die Kontrolle über das Mikrofon zu übernehmen und Audioaufnahmen zu machen. Die erstellten Dateien würden dann an einen entfernten Ort hochgeladen, der von den Angreifern kontrolliert wird. Die Bedrohung ist auch in der Lage, beliebige Screenshots zu machen und diese ebenfalls hochzuladen. Um sensible Informationen zu erhalten, kann Giddome Keylogging-Routinen auf dem Gerät einrichten und die Eingaben der Opfer erfassen. Darüber hinaus kann die Hintertür verwendet werden, um .exe- und .dll-Dateien abzurufen und sie auf den angegriffenen Geräten auszuführen/zu laden, wodurch die Angreifer die Möglichkeit erhalten, zusätzliche Payloads zu liefern.

Es wird angenommen, dass die cyberkriminelle Gruppe Shuckworm eng mit Russland verbunden ist, wenn nicht sogar Teil der Federal Security Force (FSB) des Landes. Aktivitäten, die Shuckworm zugeschrieben werden, gehen bis ins Jahr 2014 zurück, wobei die Angriffsoperationen konsequent auf wichtige öffentliche und private ukrainische Einrichtungen abzielten. Seit der russischen Invasion in der Ukraine sind die Hacker noch aktiver geworden, indem sie Phishing-Angriffe starten und neue Malware-Stämme und -Varianten einsetzen.