Porte dérobée Giddome

La menace Giddome Backdoor est un élément essentiel de l'arsenal nuisible d'une organisation cybercriminelle suivie sous les noms de Shuckworm, Gamaredon et Armageddon. La menace de malware est déployée contre des cibles en Ukraine, un comportement cohérent avec les activités précédentes du groupe de pirates.

L'opération d'attaque a obtenu un accès initial aux appareils des victimes via des messages de phishing délivrant un fichier d'archive 7-Zip auto-extractible, qui a récupéré un fichier XML à partir d'un sous-domaine associé à Shuckworm. Alternativement, les acteurs de la menace ont utilisé des téléchargeurs VBS pour récupérer les charges utiles menaçantes. En plus de Giddome Backdoor, les cybercriminels ont déployé des variantes de la menace de porte dérobée Pterodo , ainsi que plusieurs variantes d'un voleur d'informations PowerShell. Des détails sur ces menaces et l'opération d'attaque ont été rendus publics dans un rapport de chercheurs sur les logiciels malveillants.

Une fois activé sur l'appareil de la victime, Giddome peut être invité à prendre le contrôle du microphone et à effectuer des enregistrements audio. Les fichiers créés seraient ensuite téléchargés vers un emplacement distant contrôlé par les attaquants. La menace est également capable de prendre des captures d'écran arbitraires et de les télécharger également. Pour obtenir des informations sensibles, Giddome peut établir des routines d'enregistrement de frappe sur l'appareil, capturant les entrées des victimes. De plus, la porte dérobée peut être utilisée pour récupérer des fichiers .exe et .dll et les exécuter/charger sur les appareils piratés, donnant aux attaquants la possibilité de fournir des charges utiles supplémentaires.

On pense que le groupe cybercriminel Shuckworm est étroitement lié à la Russie, voire fait partie de la Force fédérale de sécurité (FSB) du pays. Les activités attribuées à Shuckworm remontent à 2014, les opérations d'attaque ayant toujours ciblé des entités ukrainiennes publiques et privées clés. Depuis l'invasion russe de l'Ukraine, les pirates sont devenus encore plus actifs en lançant des attaques de phishing et en déployant de nouvelles souches et variantes de logiciels malveillants.