ギドーム バックドア

ギドーム バックドアの脅威は、Shuckworm、 Gamaredon 、および Armageddon という名前で追跡されているサイバー犯罪組織の有害な武器庫の定番です。マルウェアの脅威は、ウクライナの標的に対して展開されており、その動作はハッカー グループの以前の活動と一致しています。

攻撃操作は、Shuckworm に関連付けられたサブドメインから XML ファイルをフェッチする自己解凍型の 7-Zip アーカイブ ファイルを配信するフィッシング メッセージを介して、被害者のデバイスへの最初のアクセスを達成しました。あるいは、攻撃者は VBS ダウンローダを利用して脅威のペイロードを取得しました。 Giddome バックドアに加えて、サイバー犯罪者はPterodoバックドア脅威の亜種と、PowerShell インフォスティーラーのいくつかの亜種を展開しました。これらの脅威と攻撃操作の詳細は、マルウェア研究者によるレポートで公開されました。

被害者のデバイスでアクティブ化されると、Giddome はマイクを制御して音声録音を行うように指示される可能性があります。作成されたファイルは、攻撃者が制御するリモートの場所にアップロードされます。この脅威は、任意のスクリーンショットを撮ってアップロードすることもできます。機密情報を取得するために、Giddome はデバイスにキーロギング ルーチンを確立し、被害者の入力をキャプチャします。さらに、バックドアを使用して .exe および .dll ファイルをフェッチし、侵害されたデバイスでそれらを実行/ロードすることで、攻撃者は追加のペイロードを配信できるようになります。

Shuckworm サイバー犯罪グループは、ロシアの連邦治安部隊 (FSB) の一部ではないにしても、ロシアと密接に関係していると考えられています。 Shuckworm による活動は 2014 年までさかのぼり、攻撃活動は一貫してウクライナの主要な公的および私的組織を標的にしていました。ロシアのウクライナ侵攻以来、ハッカーはフィッシング攻撃を開始し、新しいマルウェアの亜種や亜種を展開することにさらに積極的になっています。