TinyFluff مستتر
منظمة مجرمي الإنترنت التي تتبعها باحثو إنفوسك مع عودة OldGremlin إلى التحرك. يفضل ممثل التهديد هذا أن يظل منخفضًا وينفذ فقط حملتين تهديديتين قبل الدخول في السكون مرة أخرى. ومع ذلك ، فإن التنظيم متطور للغاية ويتم التخطيط لهجماته وتنفيذها وإغلاقها بعناية. من بين الخصائص المميزة لـ OldGremlin حقيقة أن ضحاياه هم دائمًا شركات روسية ويستخدم تهديدات باب خلفي مخصصة لتقديم حمولات الفدية النهائية. وتجدر الإشارة إلى أنه في إحدى الحالات المؤكدة ، طلبت المجموعة من ضحاياها فدية قدرها 3 ملايين دولار ، وهو ما قد يفسر عدم وجود ضرورة ملحة للنشاط المستمر.
تفاصيل الباب الخلفي
تتضمن أحدث عمليات OldGremlin هجومين للتصيد الاحتيالي يقدمان تهديدًا خلفيًا جديدًا يسمى TinyFLuff Backdoor. يبدو أن TinyFluff هو نسخة معدلة ومحدثة من تهديد باب خلفي قديم قديم من OldGremlin يتم تعقبه على أنه TinyNode. لاحظ الباحثون في Group-IB نوعين مختلفين من TinyFluff. يعتبر الإصدار السابق أكثر تعقيدًا بينما تم تبسيط المتغير الأحدث وتبسيطه لتسهيل الاستخدام أثناء التنقل. من المحتمل أن يتم تحسين تهديد الباب الخلفي بشكل أكبر لأي هجمات مستقبلية.
ستطلق TinyFluff مترجم Node.js وتزود المتسللين بإمكانية الوصول إلى الأجهزة المخترقة. ومع ذلك ، قبل أن يتم تفعيله بالكامل ، سيفحص التهديد النظام المخترق بحثًا عن إشارات للمحاكاة الافتراضية أو بيئة اختبار. بعد ذلك ، سينتقل TinyFluff إلى مرحلة الاستطلاع في عملية الهجوم. تصل الأوامر التي يتلقاها الباب الخلفي في شكل نص واضح ، مما يسمح للباحثين في مجال الأمن السيبراني بفحصها بسهولة.
وفقًا للنتائج التي توصلوا إليها ، يمكن توجيه تعليمات TinyFluff لبدء جمع معلومات النظام ومعلومات حول أي محركات أقراص متصلة والتوصيل المثبت على النظام. التهديد أيضًا قادر على إطلاق قذيفة cmd.exe لتنفيذ الأوامر. يمكنه أيضًا الحصول على معلومات حول الملفات الموجودة في أدلة معينة على محرك أقراص النظام. أخيرًا ، يمكن لـ TinyFluff إنهاء أنشطة مترجم Node.js.
