TinyFluff Backdoor

ארגון פושעי הסייבר שאחריו עוקבים חוקרי infosec כ-OldGremlin חוזר לתנועה. שחקן האיום הספציפי הזה מעדיף לשכב ולבצע רק כמה קמפיינים מאיימים לפני שהוא נכנס שוב לתרדמה. ובכל זאת, הקבוצה מתוחכמת ביותר וההתקפות שלה מתוכננות בקפידה, מבוצעות וסגורות. בין המאפיינים הבולטים של OldGremlin הם העובדה שהקורבנות שלה הם תמיד עסקים רוסים והיא משתמשת באיומי דלת אחורית בהתאמה אישית כדי לספק את עומסי הכופר הסופיים שלה. יצוין כי במקרה אחד שאושר, הקבוצה ביקשה מקורבנותיה כופר של 3 מיליון דולר, מה שיכול להסביר את חוסר הדחיפות להיות פעילים כל הזמן.

פרטי דלת אחורית

הפעולות האחרונות של OldGremlin כוללות שתי התקפות פישינג המספקות איום חדש בדלת אחורית בשם TinyFLuff Backdoor. נראה כי TinyFluff הוא גרסה שונה ומעודכנת של איום ישן יותר בדלת אחורית של OldGremlin , המלווה בתור TinyNode. החוקרים ב-Group-IB צפו בשתי גרסאות שונות של TinyFluff. הגרסה המוקדמת יותר מורכבת בעוד שהגרסה העדכנית יותר הופעלה ופשוטה יותר כדי להקל על השימוש תוך כדי תנועה. האיום על הדלת האחורית צפוי לעבור אופטימיזציה נוספת עבור כל התקפות עתידיות.

TinyFluff תשיק מתורגמן Node.js ותספק להאקרים גישה למכשירים שנפרצו. עם זאת, לפני שהוא יופעל במלואו, האיום יבדוק את המערכת שנפרצה עבור סימנים של וירטואליזציה או סביבת בדיקה. לאחר מכן, TinyFluff תעבור לשלב הסיור של מבצע ההתקפה. הפקודות המתקבלות בדלת האחורית מגיעות בצורת טקסט ברור, מה שמאפשר לחוקרי אבטחת הסייבר לבחון אותן בקלות.

על פי הממצאים שלהם, ניתן להורות ל-TinyFluff להתחיל לאסוף מידע מערכת, מידע על כל הכוננים המחוברים והחיבור המותקן במערכת. האיום גם מסוגל להפעיל מעטפת cmd.exe לביצוע פקודות. זה יכול לקבל מידע על קבצים הכלולים בספריות ספציפיות בכונן של המערכת. לבסוף, TinyFluff יכולה להפסיק את הפעילויות של המתורגמן Node.js.