OldGremlin
OldGremlin on nimi uuele häkkerirühmale, kelle tegevuse avastasid küberturvalisuse eksperdid. Seni on OldGremlini tegevus lokaliseeritud suhteliselt ja on suunatud ainult Venemaa organisatsioonidele. Kuna OldGremlinisse kuuluvad häkkerid näivad osavat vene keelt, näib, et nad ei pea kinni reeglist, mida järgivad isegi teised suuremad häkkerirühmad - mitte sihtida Venemaa või postsovetlikke riike. Üks seletus võib olla see, et OldGremlin kasutab oma märkimisväärseid teadmisi Venemaa praegustest asjadest, et paremini edendada odapüügi katseid, viimistledes samal ajal ka rünnakumeetodeid ja pahavara tööriistu.
OldGremlin kohandab praeguseid sündmusi kiiresti andmepüügirünnakute jaoks
Tõepoolest, mitmes avastatud ähvardavas kampaanias on grupp näidanud märkimisväärseid teadmisi ja kasutanud arenenud sotsiaal-inseneritaktikat, et saada sihtettevõtetes kindel koht. Esimesele grupile omistatud kampaanias sihtis OldGremlin suurt meditsiiniorganisatsiooni, saates andmepüügimeili, milles nad esinesid meediavaldusettevõttena RBC. Kui COVID-19 uudiste tsükli täitis, muutsid häkkerid taktikat ja hakkasid saatma e-kirju, mis olid väidetavalt pärit organisatsioonilt Mikrofinansirovaniye i Razvitiye (SRO MiR) ja sisaldasid võltsitud juhiseid turvalise töökeskkonna loomiseks keset pandeemiat. . Taaskord kasutati sama andmepüügimeetodit, kuid seekord kehastasid kurjategijad hambakliinikut Novadent.
Kui Valgevenes protestid algasid, kasutas OldGremlin uut olukorda kiiresti ära. Häkkerid meisterdasid kiiresti uue andmepüügisarjade sarja, teeskledes seekord, et neid saatis Minski traktoritehase (MTZ) tegevjuht. E-kirjade jaoks kasutati nime "Alesya Vladimirovna" või "AV Volokhina", mis on võlts isiksused, samas kui ettevõtte tegelik tegevjuht on Vitali Vovk. E-kirjades, mida OldGremlin erinevatele Venemaa finantsorganisatsioonidele levitas, väitsid häkkerid, kes esitlesid MTZ-d, et nad olid prokuröri kontrolli all väidetavas protestis osalemise tõttu. Nad palusid sihtettevõtetel esitada täiendavaid dokumente. Selle käigus kahjustati ettevõtete sisevõrke.
OldGremilin kasutab lisaks enda arendatud pahavaratööriistadele ka kolmanda osapoole tarkvara
Pärast edukat andmepüügirünnakut loob OldGremlin ettevõtte võrgus tugipunkti, installides kas ühe kahest spetsiaalselt loodud tagaukse pahavara nimest TinyNode ja TinyPosh. Näiteks TinyPosh on võimeline saavutama süsteemis püsivust, eskaleerima selle konto privileegid, kust see käivitati, ja on võimeline käivitama Cobalt Strike Beacon kasuliku koormuse. Tegeliku klassifikatsiooniaadressi varjamiseks kasutasid häkkerid Cloudflare Workersi serverit. Group-IB ekspertide sõnul kasutas OldGremlin kampaaniates kasutatavate käskude ja juhtimisserverite peitmiseks Cloudflare Workersi serverit. Mis puutub TinyNode'i, siis seda kasutatakse peamiselt täiendavate pahavara moodulite allalaadimiseks ja käivitamiseks.
Sees olles hakkavad häkkerid liikuma läbi ohustatud võrgu külgsuunas, et otsida konkreetseid sihtmärke. Tagamaks, et nende tegevus jätaks piiratud jälje, kasutavad nad Cobalt Strike raamistikku. Meditsiiniorganisatsiooni vastases rünnakukampaanias varitses OldGremlin nädalaid võrgu kaudu, kuni sai domeeni administraatori mandaadi. Pärast seda kustutasid häkkerid kõik süsteemide varukoopiad ja juurutasid kohandatud lunavara ohu nimega TinyCryptor (aka TinyCrypt / TInyCryptor / Decr1pt Ransomware). Selle konkreetse kampaania jaoks nõudsid kurjategijad krüptorahana 50 000 dollari tasumist ja kasutasid kontakti saamiseks ProtonMaili aadressi.
