Licence pro více zařízení (množstevní slevy)
Threat Database Advanced Persistent Threat (APT) Zadní vrátka TinyFluff

Zadní vrátka TinyFluff

V roce Mezo v roce Advanced Persistent Threat (APT), Backdoors
Přeložit do:
Čeština

Kyberzločinecká organizace sledovaná výzkumníky infosec jako OldGremlin je zpět v pohybu. Tento konkrétní aktér ohrožení se raději stáhne a provede jen několik výhružných kampaní, než znovu upadne do klidu. Přesto je skupina extrémně sofistikovaná a její útoky jsou pečlivě naplánovány, provedeny a uzavřeny. Mezi charakteristické rysy OldGremlin patří skutečnost, že jeho oběťmi jsou vždy ruské podniky a že k poskytování konečného ransomwaru používá na míru vytvořené hrozby typu backdoor. Je třeba poznamenat, že v jednom potvrzeném případě skupina požádala své oběti o výkupné ve výši 3 milionů dolarů, což by mohlo vysvětlit nedostatek naléhavosti být neustále aktivní.

Podrobnosti o zadních vrátkách

Nejnovější operace OldGremlin zahrnují dva phishingové útoky, které přinášejí novou backdoor hrozbu s názvem TinyFLuff Backdoor. Zdá se, že TinyFluff je upravená a aktualizovaná varianta starší hrozby backdoor OldGremlin sledované jako TinyNode. Výzkumníci z Group-IB pozorovali dvě různé varianty TinyFluff. Dřívější varianta je složitější, zatímco novější varianta byla zefektivněna a zjednodušena, aby se usnadnilo používání za chodu. Hrozba zadními vrátky bude pravděpodobně dále optimalizována pro budoucí útoky.

TinyFluff spustí interpret Node.js a poskytne hackerům přístup k napadeným zařízením. Před plnou aktivací však hrozba zkontroluje napadený systém, zda nevykazuje známky virtualizace nebo testovacího prostředí. Poté se TinyFluff přesune do fáze průzkumu útočné operace. Příkazy přijaté zadními vrátky přicházejí v podobě čistého textu, což umožňuje výzkumníkům v oblasti kybernetické bezpečnosti je snadno prozkoumat.

Podle jejich zjištění může být TinyFluff instruován, aby začal shromažďovat systémové informace, informace o všech připojených discích a zásuvkách nainstalovaných v systému. Hrozba je také schopna spustit shell cmd.exe pro provádění příkazů. Může také získat informace o souborech obsažených v určitých adresářích na systémové jednotce. Nakonec může TinyFluff ukončit činnost interpretu Node.js.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
15,356
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...