OldGremlin

OldGremlin Beskrivelse

OldGremlin er navnet på en ny hacker-gruppe, hvis operationer blev opdaget af cybersikkerhedseksperter. Indtil videre er OldGremlns aktiviteter blevet lokaliseret relativt og er kun rettet mod russiske organisationer. Da hackere, der tilhører OldGremlin, ser ud til at kende flydende russisk, ser det ud til, at de ikke overholder reglen, som selv andre større hackergrupper følger - ikke at målrette mod russiske eller post-sovjetiske lande. En forklaring kan være, at OldGremlin udnytter deres betydelige viden om Ruslands aktuelle anliggender for bedre at placere deres forsøg på phishing-phishing til succes, samtidig med at de finjusterer deres angrebsmetoder og malware-værktøjer.

OldGremlin tilpasser hurtigt aktuelle begivenheder til phishing-angreb

Faktisk, i de adskillige truende kampagner, der er blevet opdaget, har gruppen vist betydelig viden og brugt avanceret socialteknisk taktik for at få fodfæste inden for de målrettede virksomheder. I den første kampagne, der blev tilskrevet gruppen, målrettede OldGremlin sig mod en stor medicinsk organisation ved at sende en phishing-e-mail, hvor de efterlignede medieholdingselskabet RBC. Da COVID-19 udfyldte nyhedscyklussen, skiftede hackerne deres taktik og begyndte at sende e-mails, der angiveligt var fra organisationen Mikrofinansirovaniye i Razvitiye (SRO MiR) og indeholdt falske instruktioner om, hvordan man genererer et sikkert arbejdsmiljø midt i pandemien. . Den samme phishing-metode blev brugt igen, men denne gang efterlignede de kriminelle tandklinikken Novadent.

Da protesterne i Hviderusland begyndte, var OldGremlin hurtig til at udnytte den nye situation. Hackerne lavede hurtigt en ny serie phishing-e-mails, denne gang foregav de at være sendt af administrerende direktør for Minsk Tractor Works (MTZ). Navnet, der blev brugt til e-mails, var enten 'Alesya Vladimirovna' eller 'AV Volokhina', som er falske personligheder, mens den virkelige administrerende direktør for virksomheden hedder Vitaly Vovk. I de e-mails, som OldGremlin formidlede til forskellige russiske finansielle organisationer, hævdede hackere, der udgav sig som MTZ, at de var under inspektion fra en anklager på grund af angiveligt deltagelse i protesten. De bad de målrettede virksomheder om at levere yderligere dokumenter. I processen kom virksomhedernes interne netværk i fare.

OldGremilin anvender en blanding af selvudviklede malware-værktøjer sammen med tredjepartssoftware

Efter et vellykket phishing-angreb skaber OldGremlin fodfæste inden for virksomhedens netværk ved at installere en af to specialfremstillede stykker bagdør malware kaldet TinyNode og TinyPosh. TinyPosh er for eksempel i stand til at opnå vedholdenhed i systemet, eskalere privilegierne på den konto, hvorfra den blev udført, og er i stand til at starte Cobalt Strike Beacon-nyttelasten. For at skjule den rigtige C & C-adresse brugte hackerne Cloudflare Workers-serveren. Ifølge Group-IBs eksperter beskæftigede OldGremlin Cloudflare Workers-serveren for at skjule Command-and-Control-servere, der blev brugt til kampagnerne. Hvad angår TinyNode, bruges det primært til at downloade og udføre yderligere malware-moduler.

Når de er inde, begynder hackerne at bevæge sig gennem det kompromitterede netværk lateralt for at søge efter specifikke mål. For at sikre, at deres handlinger efterlader et begrænset aftryk, bruger de Cobalt Strike-rammen. I angrebskampagnen mod den medicinske organisation lurede OldGremlin gennem netværket i flere uger, indtil det opnåede domæneadministratorlegitimationsoplysninger. Derefter slettede hackerne alle systemernes sikkerhedskopier og implementerede en brugerdefineret ransomware-trussel kaldet TinyCryptor (aka TinyCrypt / TInyCryptor / Decr1pt Ransomware). Til denne særlige kampagne krævede kriminelle betaling af $ 50 000 i kryptokurrency og brugte en ProtonMail-adresse til kontakt.