TinyFluff Backdoor
Infosec-tutkijoiden OldGremlininä jäljittämä kyberrikollisjärjestö on palannut liikkeelle. Tämä erityinen uhkatekijä mieluummin laskeutuu alas ja suorittaa vain muutaman uhkaavan kampanjan ennen kuin joutuu jälleen lepotilaan. Silti ryhmä on erittäin hienostunut ja sen hyökkäykset on huolellisesti suunniteltu, toteutettu ja suljettu. OldGremlinin tunnusmerkkejä ovat se, että sen uhrit ovat aina venäläisiä yrityksiä ja se käyttää räätälöityjä takaoven uhkia toimittaakseen lopulliset kiristysohjelmat. On huomattava, että yhdessä vahvistetussa tapauksessa ryhmä pyysi uhreiltaan 3 miljoonan dollarin lunnaita, mikä saattoi selittää kiireettömän jatkuvan aktiivisuuden.
Takaoven tiedot
OldGremlinin uusimmat toiminnot sisältävät kaksi tietojenkalasteluhyökkäystä, jotka tarjoavat uuden takaoven uhan nimeltä TinyFLuff Backdoor. TinyFluff näyttää olevan muokattu ja päivitetty muunnelma vanhemmasta OldGremlin -takaoviuhkasta, jota seurataan nimellä TinyNode. Group-IB:n tutkijat ovat havainneet kaksi erilaista TinyFluff-varianttia. Aikaisempi on monimutkaisempi, kun taas uudempi versio on virtaviivaistettu ja yksinkertaistettu helpottamaan käyttöä lennossa. Takaoven uhka on todennäköisesti edelleen optimoitu tulevia hyökkäyksiä varten.
TinyFluff käynnistää Node.js-tulkin ja antaa hakkereille pääsyn rikottuihin laitteisiin. Ennen kuin uhka aktivoituu kokonaan, se kuitenkin tarkistaa vaarantuneen järjestelmän virtualisoinnin tai testiympäristön varalta. Tämän jälkeen TinyFluff siirtyy hyökkäysoperaation tiedusteluvaiheeseen. Takaoven vastaanottamat komennot saapuvat selkeässä tekstimuodossa, jolloin kyberturvallisuustutkijat voivat helposti tarkastella niitä.
Heidän havaintojensa mukaan TinyFluff voidaan ohjata keräämään järjestelmätietoja, tietoja liitetyistä asemista ja järjestelmään asennetuista liittimistä. Uhka pystyy myös käynnistämään cmd.exe-kuoren suorittamaan komentoja. Se voi saada tietoa tiedostoista, jotka ovat järjestelmän aseman tietyissä hakemistoissa. Lopuksi TinyFluff voi lopettaa Node.js-tulkin toiminnan.
