OldGremlin
OldGremlin on nimi uudelle hakkeriryhmälle, jonka toiminnan kyberturvallisuuden asiantuntijat löysivät. Toistaiseksi OldGremlinin toiminta on lokalisoitu suhteellisen ja kohdistettu vain venäläisiin organisaatioihin. Kun OldGremliniin kuuluvat hakkerit näyttävät tietävän sujuvaa venäjää, näyttää siltä, että he eivät noudata sääntöä, jota jopa muut isommat hakkeriryhmät noudattavat - olla kohdistamatta Venäjän tai Neuvostoliiton jälkeisiin maihin. Yksi selitys voisi olla, että OldGremlin hyödyntää merkittävää tietämystään Venäjän ajankohtaisista asioista parantaakseen keihäänpyynnön onnistumisyrityksiään ja hienosäätäen samalla hyökkäystapojaan ja haittaohjelmatyökalujaan.
OldGremlin Sopeuta ajankohtaiset tapahtumat nopeasti verkkourkintahyökkäyksiin
Itse asiassa useissa havaituissa uhkaavissa kampanjoissa ryhmä on osoittanut huomattavaa tietämystä ja hyödyntänyt edistynyttä sosiaalisen suunnittelun taktiikkaa saadakseen jalansijaa kohteena olevissa yrityksissä. Ensimmäisessä ryhmälle osoitetussa kampanjassa OldGremlin kohdisti suuren lääketieteellisen organisaation lähettämällä tietojenkalasteluviestin, jossa he esiintyivät mediayhtiönä RBC. Kun COVID-19 täytti uutisjakson, hakkerit vaihtivat taktiikkaa ja alkoivat lähettää sähköposteja, jotka oletettavasti olivat Mikrofinansirovaniye i Razvitiye -organisaatiolta (SRO MiR) ja sisältävät väärennettyjä ohjeita turvallisen työympäristön luomisesta pandemian keskellä. . Samaa tietojenkalastelumenetelmää käytettiin jälleen, mutta tällä kertaa rikolliset esiintyivät Novadentin hammasklinikalla.
Kun mielenosoitukset Valkovenäjällä alkoivat, OldGremlin hyödynsi nopeasti uutta tilannetta. Hakkerit laativat nopeasti uuden sarjan verkkohuijausviestejä, tällä kertaa teeskentelemällä, että ne lähettivät Minsk Tractor Worksin (MTZ) toimitusjohtaja. Sähköpostiviesteissä käytetty nimi oli joko 'Alesya Vladimirovna' tai 'AV Volokhina', jotka ovat väärennöksiä, kun taas yrityksen todellinen toimitusjohtaja on nimeltään Vitaly Vovk. MTG: n esiintyneet hakkerit väittivät OldGremlinin venäläisille finanssijärjestöille levittämissä sähköposteissa olevansa syyttäjän tarkastuksessa, koska he osallistuivat väitetysti osallistumiseen mielenosoitukseen. He pyysivät kohdeyrityksiä toimittamaan lisäasiakirjoja. Yritysten sisäiset verkot vaarantuivat prosessin aikana.
OldGremilin käyttää itse kehitettyjä haittaohjelmatyökaluja yhdessä muiden valmistajien ohjelmistojen kanssa
Onnistuneen tietojenkalasteluhyökkäyksen jälkeen OldGremlin vahvistaa jalansijaa yrityksen verkossa asentamalla jommankumman kahdesta räätälöitystä takaoven haittaohjelmasta, nimeltään TinyNode ja TinyPosh. Esimerkiksi TinyPosh pystyy saavuttamaan pysyvyyden järjestelmässä, laajentamaan sen tilin käyttöoikeuksia, josta se suoritettiin, ja pystyy käynnistämään Cobalt Strike Beacon -kuorman. Hakkerit piilottivat todellisen luokitusosoitteen Cloudflare Workers -palvelimella. Group-IB: n asiantuntijoiden mukaan OldGremlin käytti Cloudflare Workers -palvelinta piilottaakseen kampanjoissa käytetyt komento- ja hallintapalvelimet. Mitä tulee TinyNodeen, sitä käytetään ensisijaisesti ylimääräisten haittaohjelmamoduulien lataamiseen ja suorittamiseen.
Sisällä hakkerit alkavat liikkua vaarantuneen verkon kautta sivusuunnassa etsimään tiettyjä kohteita. He käyttävät Cobalt Strike -kehystä varmistaakseen, että heidän toimintaansa jää rajoitettu jälki. Lääketieteellistä organisaatiota vastaan tehdyssä hyökkäyskampanjassa OldGremlin piileskeli verkon läpi viikkoja, kunnes se sai verkkotunnuksen järjestelmänvalvojan tunnistetiedot. Sen jälkeen hakkerit poistivat kaikki järjestelmien varmuuskopiot ja ottivat käyttöön mukautetun lunnasohjelmien uhkan nimeltä TinyCryptor (alias TinyCrypt / TInyCryptor / Decr1pt Ransomware). Tätä kampanjaa varten rikolliset vaativat 50 000 dollarin maksua kryptovaluutassa ja käyttivät yhteydenpitoon ProtonMail-osoitetta.
