Pteredo Backdoor

Altri ceppi di malware utilizzati negli attacchi contro obiettivi ucraini vengono scoperti dagli analisti della sicurezza informatica. In un rapporto, gli esperti hanno rivelato i dettagli su un'operazione del gruppo di criminali informatici Gamaredon (tracciato anche come Armageddon/Shuckworm) e sulla loro ultima creazione di malware denominata Pteredo Backdoor.

Si ritiene che Gamaredon sia un gruppo di minacce sponsorizzato dallo stato russo che ha mostrato un interesse continuo e prolungato nel lanciare attacchi contro l'Ucraina. Le sue operazioni contro obiettivi nel paese possono essere fatte risalire almeno al 2014. Da allora, si ritiene che il gruppo abbia effettuato oltre 5.000 operazioni di attacco contro circa 1.500 enti governativi, pubblici e privati.

Per quanto riguarda il malware Pteredo (Pteranodon), l'analisi ha rivelato che è probabilmente un discendente di una backdoor offerta sui forum di hacker russi. Gli agenti di Gamaredon hanno acquisito la minaccia e hanno ulteriormente ampliato le sue capacità tramite moduli DLL specializzati. Le quattro diverse versioni attualmente identificate di Pteredo possono raccogliere dati dai dispositivi violati, stabilire connessioni di accesso remoto e sono dotate di tecniche di analisi-evasione.

Va notato che i carichi utili schierati nell'attacco contro obiettivi ucraini sono diversi, ma eseguono azioni simili una volta attivati. Tuttavia, ogni carico utile comunica con un diverso indirizzo del server Command-and-Control (C2, C&C). Il probabile obiettivo degli hacker di Gamaredon è rendere molto più difficile la pulizia dei dispositivi presi di mira tramite strumenti anti-malware attraverso l'uso di payload leggermente diversi.