Licenser til flere enheder (volumenrabatter)
Threat Database Advanced Persistent Threat (APT) TinyFluff Backdoor

TinyFluff Backdoor

Med Mezo i Advanced Persistent Threat (APT), Backdoors
Oversæt til:
Dansk

Den cyberkriminelle organisation sporet af infosec-forskere som OldGremlin er tilbage på farten. Denne særlige trusselsaktør foretrækker at lægge sig lavt og kun udføre et par truende kampagner, før han igen går i dvale. Alligevel er gruppen ekstremt sofistikeret, og dens angreb er nøje planlagt, udført og lukket. Blandt de karakteristiske kendetegn ved OldGremlin er det faktum, at dets ofre altid er russiske virksomheder, og det bruger skræddersyede bagdørstrusler til at levere sine endelige ransomware-nyttelaster. Det skal bemærkes, at i et bekræftet tilfælde bad gruppen sine ofre om en løsesum på 3 millioner dollars, hvilket kunne forklare manglen på uopsættelighed for at være konstant aktiv.

Bagdørsdetaljer

De seneste operationer af OldGremlin inkluderer to phishing-angreb, der leverer en ny bagdørstrussel ved navn TinyFLuff Backdoor. TinyFluff ser ud til at være en modificeret og opdateret variant af en ældre OldGremlin bagdørstrussel sporet som TinyNode. Forskerne ved Group-IB har observeret to forskellige varianter af TinyFluff. Den tidligere er mere kompleks, mens den nyere variant er blevet strømlinet og forenklet for at lette brugen i farten. Bagdørstruslen vil sandsynligvis blive yderligere optimeret til fremtidige angreb.

TinyFluff vil lancere en Node.js-fortolker og give hackerne adgang til de brudte enheder. Men før den aktiveres fuldt ud, vil truslen kontrollere det kompromitterede system for tegn på virtualisering eller et testmiljø. Bagefter vil TinyFluff gå videre til rekognosceringsfasen af angrebsoperationen. Kommandoerne modtaget af bagdøren ankommer i klar tekstform, så cybersikkerhedsforskerne nemt kan undersøge dem.

Ifølge deres resultater kan TinyFluff blive instrueret i at begynde at indsamle systemoplysninger, information om eventuelle tilsluttede drev og plugging installeret på systemet. Truslen er også i stand til at starte en cmd.exe-skal til at udføre kommandoer. Det kan få oplysninger om filer indeholdt i specifikke mapper på systemets drev. Endelig kan TinyFluff afslutte Node.js-fortolkerens aktiviteter.

Trending

Mest sete

Indlæser...