TinyFluff Backdoor

До Mezo през Advanced Persistent Threat (APT), Backdoorsг

Превод на:

Организацията на киберпрестъпниците, проследявана от изследователи на инфосек като OldGremlin, се завръща в движение. Този конкретен заплашителен актьор предпочита да се потисне и да изпълни само няколко заплашителни кампании, преди отново да изпадне в латентност. Въпреки това групата е изключително сложна и нейните атаки са внимателно планирани, изпълнявани и затворени. Сред отличителните характеристики на OldGremlin е фактът, че неговите жертви винаги са руски бизнеси и той използва направени по поръчка заплахи за задната врата, за да достави окончателния си рансъмуер. Трябва да се отбележи, че в един потвърден случай групата поиска от жертвите си откуп от 3 милиона долара, което може да обясни липсата на спешност да бъде постоянно активна.

Подробности за задната врата

Последните операции на OldGremlin включват две фишинг атаки, които доставят нова бекдор заплаха, наречена TinyFLuff Backdoor. TinyFluff изглежда е модифициран и актуализиран вариант на по-стара заплаха от задна врата OldGremlin , проследявана като TinyNode. Изследователите от Group-IB са наблюдавали два различни варианта на TinyFluff. По-ранният е по-сложен, докато по-новият вариант е рационализиран и опростен, за да се улесни използването в движение. Заплахата от бекдор вероятно ще бъде допълнително оптимизирана за всякакви бъдещи атаки.

TinyFluff ще пусне интерпретатор на Node.js и ще предостави на хакерите достъп до взломените устройства. Въпреки това, преди да бъде напълно активирана, заплахата ще провери компрометираната система за признаци на виртуализация или тестова среда. След това TinyFluff ще премине към етапа на разузнаване на операцията за атака. Командите, получени от бекдора, пристигат под формата на ясен текст, което позволява на изследователите по киберсигурност лесно да ги изследват.

Според техните констатации, TinyFluff може да бъде инструктиран да започне да събира системна информация, информация за всички свързани устройства и запушването, инсталирано в системата. Заплахата също така е в състояние да стартира обвивка cmd.exe за изпълнение на команди. Той може да получи информация за файлове, съдържащи се в определени директории на системното устройство. И накрая, TinyFluff може да прекрати дейностите на интерпретатора на Node.js.