Pteredo Backdoor

D'autres souches de logiciels malveillants utilisées dans les attaques contre des cibles ukrainiennes sont découvertes par les analystes de la cybersécurité. Dans un rapport, des experts ont révélé des détails sur une opération du groupe cybercriminel Gamaredon (également suivi sous le nom d'Armageddon/Shuckworm) et leur dernière création de malware nommée Pteredo Backdoor.

On pense que Gamaredon est un groupe menaçant parrainé par l'État russe qui a manifesté un intérêt continu et prolongé pour lancer des attaques contre l'Ukraine. Ses opérations contre des cibles dans le pays remontent à au moins 2014. Depuis lors, le groupe aurait mené plus de 5 000 opérations d'attaque visant environ 1 500 entités gouvernementales, publiques et privées.

Quant au malware Pteredo (Pteranodon), l'analyse a révélé qu'il s'agit probablement d'un descendant d'une porte dérobée proposée sur les forums de pirates russes. Les agents de Gamaredon ont acquis la menace et ont encore élargi ses capacités via des modules DLL spécialisés. Les quatre versions différentes de Pteredo actuellement identifiées peuvent collecter des données à partir des appareils piratés, établir des connexions d'accès à distance et sont équipées de techniques d'analyse et d'évasion.

Il convient de noter que les charges utiles déployées lors de l'attaque contre des cibles ukrainiennes sont différentes, mais effectuent des actions similaires une fois activées. Cependant, chaque charge utile communique avec une adresse de serveur de commande et de contrôle (C2, C&C) différente. L'objectif probable des pirates de Gamaredon est de rendre le nettoyage des appareils ciblés via des outils anti-malware beaucoup plus difficile grâce à l'utilisation de charges utiles légèrement différentes.