OldGremlin

OldGremlin naziv je koji je dobio nova hakerska skupina čije su operacije otkrili stručnjaci za kibernetsku sigurnost. Do sada su aktivnosti OldGremlina bile relativno lokalizirane, usmjeravajući se samo na ruske organizacije. Čini se da hakeri koji pripadaju OldGremlinu znaju tečno ruski, čini se da se ne pridržavaju pravila koje slijede čak i druge veće hakerske skupine - da ne ciljaju ruske ili postsovjetske zemlje. Jedno od objašnjenja moglo bi biti da OldGremlin iskorištava njihovo značajno znanje o ruskim trenutnim poslovima kako bi bolje pozicionirao svoje pokušaje podvodnog krađe identiteta, istovremeno fino podešavajući svoje metode napada i alate malware-a.

OldGremlin brzo prilagođava trenutne događaje za phishing napade

Zapravo, u nekoliko prijetećih kampanja koje su otkrivene, grupa je pokazala poprilično znanje i iskoristila napredne taktike socijalnog inženjeringa kako bi se utvrdila unutar ciljanih tvrtki. U prvoj kampanji pripisanoj grupi, OldGremlin je ciljao veliku medicinsku organizaciju slanjem phishing e-pošte u kojoj su se predstavljali kao medijski holding RBC. Kada je COVID-19 popunio ciklus vijesti, hakeri su promijenili taktiku i počeli slati mailove koji su navodno bili od organizacije Mikrofinansirovaniye i Razvitiye (SRO MiR) i sadržavali lažne upute o tome kako stvoriti sigurno radno okruženje usred pandemije . Ponovno je korištena ista metoda krađe identiteta, ali, ovaj put, kriminalci su se predstavljali kao stomatološka klinika Novadent.

Kad su započeli prosvjedi u Bjelorusiji, OldGremlin je brzo iskoristio novonastalu situaciju. Hakeri su brzo stvorili novu seriju phishing poruka e-pošte, ovaj put pretvarajući se da ih je poslao izvršni direktor tvrtke Minsk Tractor Works (MTZ). Ime koje se koristilo za e-poštu bilo je 'Alesya Vladimirovna' ili 'AV Volokhina', koje su lažne ličnosti, dok se pravi izvršni direktor tvrtke zove Vitaly Vovk. U e-porukama koje je OldGremlin širio raznim ruskim financijskim organizacijama, hakeri koji su se predstavljali kao MTZ, tvrdili su da su pod nadzorom tužitelja zbog navodnog sudjelovanja u prosvjedu. Tražili su od ciljanih tvrtki da dostave dodatne dokumente. Pritom su interne mreže tvrtki bile ugrožene.

OldGremilin upošljava kombinaciju samorazvijenih alata za zlonamjerni softver uz softver nezavisnih proizvođača

Nakon uspješnog phishing napada, OldGremlin uspostavlja uporište u mreži tvrtke instalirajući bilo koji od dva prilagođena komada backdoor zlonamjernih programa nazvanih TinyNode i TinyPosh. Na primjer, TinyPosh je sposoban postići postojanost u sustavu, eskalirajući privilegije računa s kojeg je pokrenut, a sposoban je pokrenuti i nosivost Cobalt Strike Beacon. Kako bi sakrili stvarnu C&C adresu, hakeri su koristili poslužitelj Cloudflare Workers. Prema stručnjacima Group-IB, da bi sakrio naredbe i kontrolu poslužitelja korištenih za kampanje, OldGremlin je zaposlio poslužitelj Cloudflare Workers. Što se tiče TinyNode-a, koristi se prvenstveno za preuzimanje i izvršavanje dodatnih modula malware-a.

Kad uđu, hakeri se počnu kretati kroz ugroženu mrežu bočno tražeći određene ciljeve. Kako bi osigurali da njihovo djelovanje ostavlja ograničeni trag, koriste se okvirom Cobalt Strike. U kampanji napada na medicinsku organizaciju, OldGremlin je tjednima vrebao mrežu dok nije dobio vjerodajnice administratora domene. Nakon toga, hakeri su izbrisali sigurnosne kopije svih sustava i primijenili prilagođenu prijetnju ransomwareom nazvanu TinyCryptor (poznatu kao TinyCrypt / TInyCryptor / Decr1pt Ransomware). Za ovu konkretnu kampanju kriminalci su tražili plaćanje 50 000 američkih dolara u kriptovaluti i koristili su ProtonMail adresu za kontakt.