TinyFluff Backdoor

Η κυβερνοεγκληματική οργάνωση που παρακολουθείται από ερευνητές της infosec καθώς η OldGremlin επιστρέφει σε κίνηση. Αυτός ο συγκεκριμένος παράγοντας απειλών προτιμά να μείνει χαμηλά και να εκτελέσει μόνο μερικές απειλητικές εκστρατείες προτού μπει ξανά σε λήθαργο. Ωστόσο, η ομάδα είναι εξαιρετικά εξελιγμένη και οι επιθέσεις της είναι προσεκτικά σχεδιασμένες, εκτελούμενες και κλειστές. Μεταξύ των διακριτικών χαρακτηριστικών του OldGremlin είναι το γεγονός ότι τα θύματά του είναι πάντα ρωσικές επιχειρήσεις και χρησιμοποιεί εξατομικευμένες απειλές backdoor για την παράδοση των τελικών ωφέλιμων φορτίων του ransomware. Θα πρέπει να σημειωθεί ότι σε ένα επιβεβαιωμένο κρούσμα, η ομάδα ζήτησε από τα θύματά της λύτρα 3 εκατομμυρίων δολαρίων, κάτι που θα μπορούσε να εξηγήσει την έλλειψη επείγοντος να είναι συνεχώς ενεργός.

Λεπτομέρειες Backdoor

Οι πιο πρόσφατες λειτουργίες του OldGremlin περιλαμβάνουν δύο επιθέσεις phishing που προσφέρουν μια νέα απειλή backdoor που ονομάζεται TinyFLuff Backdoor. Το TinyFluff φαίνεται να είναι μια τροποποιημένη και ενημερωμένη παραλλαγή μιας παλαιότερης απειλής backdoor του OldGremlin που παρακολουθείται ως TinyNode. Οι ερευνητές στο Group-IB παρατήρησαν δύο διαφορετικές παραλλαγές του TinyFluff. Η προηγούμενη είναι πιο περίπλοκη ενώ η πιο πρόσφατη παραλλαγή έχει βελτιωθεί και απλοποιηθεί για να διευκολύνεται η χρήση εν κινήσει. Η απειλή της κερκόπορτας είναι πιθανό να βελτιστοποιηθεί περαιτέρω για τυχόν μελλοντικές επιθέσεις.

Το TinyFluff θα εκκινήσει έναν διερμηνέα Node.js και θα παρέχει στους χάκερ πρόσβαση στις συσκευές που έχουν παραβιαστεί. Ωστόσο, προτού ενεργοποιηθεί πλήρως, η απειλή θα ελέγξει το παραβιασμένο σύστημα για ενδείξεις εικονικοποίησης ή δοκιμαστικό περιβάλλον. Στη συνέχεια, ο TinyFluff θα προχωρήσει στο στάδιο αναγνώρισης της επιχείρησης επίθεσης. Οι εντολές που λαμβάνονται από το backdoor φτάνουν σε μορφή καθαρού κειμένου, επιτρέποντας στους ερευνητές της κυβερνοασφάλειας να τις εξετάσουν εύκολα.

Σύμφωνα με τα ευρήματά τους, η TinyFluff μπορεί να λάβει οδηγίες να αρχίσει να συλλέγει πληροφορίες συστήματος, πληροφορίες σχετικά με τυχόν συνδεδεμένες μονάδες δίσκου και την πρίζα που είναι εγκατεστημένη στο σύστημα. Η απειλή είναι επίσης ικανή να εκκινήσει ένα κέλυφος cmd.exe για την εκτέλεση εντολών. Μπορεί να λάβει πληροφορίες σχετικά με αρχεία που περιέχονται σε συγκεκριμένους καταλόγους στη μονάδα δίσκου του συστήματος. Τέλος, το TinyFluff μπορεί να τερματίσει τις δραστηριότητες του διερμηνέα Node.js.

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...