OldGremlin
OldGremlin je název nové hackerské skupiny, jejíž operace objevili odborníci na kybernetickou bezpečnost. Dosud byly aktivity OldGremlin lokalizovány relativně a zaměřovaly se pouze na ruské organizace. S hackery patřícími do OldGremlin se zdá, že vědí plynně rusky, zdá se, že nedodržují pravidlo, kterým se řídí i další větší hackerské skupiny - necílit na ruské nebo postsovětské země. Jedním z vysvětlení by mohlo být, že OldGremlin využívá své významné znalosti o ruských současných záležitostech k lepšímu umístění svých pokusů o phishing s kopími k úspěchu a zároveň vyladí své metody útoku a nástroje malwaru.
OldGremlin rychle přizpůsobuje aktuální události phishingovým útokům
Ve skutečnosti byla v několika odhalených hrozivých kampaních skupina prokázána se značnými znalostmi a využila pokročilé taktiky sociálního inženýrství, aby se uchytila v cílených společnostech. V první kampani připisované skupině se OldGremlin zaměřil na velkou lékařskou organizaci zasláním phishingového e-mailu, ve kterém se vydávali za mediální holdingovou společnost RBC. Když COVID-19 vyplnil zpravodajský cyklus, hackeři změnili svou taktiku a začali posílat e-maily, které údajně pocházely od organizace Mikrofinansirovaniye i Razvitiye (SRO MiR) a obsahovaly falešné pokyny, jak uprostřed bezpečné pandemie generovat bezpečné pracovní prostředí . Stejná metoda phishingu byla použita znovu, ale tentokrát se zločinci vydávali za zubní kliniku Novadent.
Když začaly protesty v Bělorusku, OldGremlin rychle využil nové situace. Hackeři rychle vytvořili novou sérii phishingových e-mailů, tentokrát předstírají, že jsou zaslány generálním ředitelem společnosti Minsk Tractor Works (MTZ). Název používaný pro e-maily byl „Alesya Vladimirovna“ nebo „AV Volokhina“, což jsou falešné osobnosti, zatímco skutečný generální ředitel společnosti se jmenuje Vitaly Vovk. V e-mailech, které OldGremlin šířil různým ruským finančním organizacím, hackeři vydávající se za MTZ tvrdili, že byli pod kontrolou státního zástupce kvůli údajné účasti na protestu. Požádali cílové společnosti o poskytnutí dalších dokumentů. V tomto procesu byly narušeny vnitřní sítě společností.
OldGremilin využívá vedle softwaru třetích stran i kombinaci vyvinutých malwarových nástrojů
Po úspěšném phishingovém útoku si společnost OldGremlin vybudovala oporu v síti společnosti instalací jednoho ze dvou na míru vytvořených kousků malwaru backdoor s názvem TinyNode a TinyPosh. Například TinyPosh je schopen dosáhnout vytrvalosti v systému, eskalovat privilegia účtu, ze kterého byl spuštěn, a je schopen spustit užitečné zatížení Cobalt Strike Beacon. Ke skrytí skutečné adresy C&C hackeři použili server Cloudflare Workers. Podle odborníků Group-IB použil OldGremlin pro skrytí serverů Command-and-Control použitých pro kampaně server Cloudflare Workers. Pokud jde o TinyNode, používá se primárně ke stahování a spouštění dalších malwarových modulů.
Jakmile jsou uvnitř, hackeři se začínají pohybovat skrze ohroženou síť bočně a hledat konkrétní cíle. Aby zajistili, že jejich akce zanechají omezený otisk, používají rámec Cobalt Strike. V útočné kampani proti lékařské organizaci OldGremlin číhal sítí několik týdnů, dokud nezískal pověření správce domény. Poté hackeři odstranili zálohy všech systémů a nasadili vlastní ransomwarovou hrozbu nazvanou TinyCryptor (aka TinyCrypt / TInyCryptor / Decr1pt Ransomware). V této konkrétní kampani zločinci požadovali platbu kryptoměny 50 000 USD a pro kontakt použili adresu ProtonMail.
