TinyFluff Backdoor

A kiberbûnözõ szervezet, amelyet az infoszec kutatói OldGremlin néven követtek nyomon, ismét mozgásban van. Ez a bizonyos fenyegetettség szereplője inkább alámerül, és csak néhány fenyegető kampányt hajt végre, mielőtt ismét nyugalmi állapotba kerül. Ennek ellenére a csoport rendkívül kifinomult, támadásait gondosan megtervezik, végrehajtják és lezárják. Az OldGremlin megkülönböztető jellemzői közé tartozik az a tény, hogy áldozatai mindig orosz vállalkozások, és egyedi gyártású backdoor fenyegetéseket használ a végső ransomware rakományok eljuttatásához. Meg kell jegyezni, hogy egy megerősített esetben a csoport 3 millió dollár váltságdíjat kért áldozataitól, ami megmagyarázhatja a folyamatos tevékenység sürgősségének hiányát.

A hátsó ajtó részletei

Az OldGremlin legújabb műveletei két adathalász támadást tartalmaznak, amelyek egy új, TinyFLuff Backdoor nevű backdoor fenyegetést jelentenek. A TinyFluff a TinyNode néven nyomon követett régebbi OldGremlin backdoor fenyegetés módosított és frissített változata. Az IB csoport kutatói a TinyFluff két különböző változatát figyelték meg. A korábbi változat bonyolultabb, míg az újabb változatot leegyszerűsítették és egyszerűsítették a menet közbeni használat megkönnyítése érdekében. A hátsó ajtó fenyegetést valószínűleg tovább optimalizálják a jövőbeni támadásokra.

A TinyFluff elindít egy Node.js értelmezőt, és hozzáférést biztosít a hackereknek a feltört eszközökhöz. A teljes aktiválás előtt azonban a fenyegetés ellenőrzi, hogy a feltört rendszeren vannak-e virtualizáció vagy tesztkörnyezet jelei. Ezt követően TinyFluff a támadási művelet felderítő szakaszába lép. A hátsó ajtón kapott parancsok tiszta szöveges formában érkeznek, így a kiberbiztonsági kutatók könnyedén megvizsgálhatják azokat.

Megállapításaik szerint a TinyFluff utasítható, hogy kezdje el gyűjteni a rendszerinformációkat, információkat a csatlakoztatott meghajtókról és a rendszerre telepített dugulásokról. A fenyegetés egy cmd.exe parancsértelmezőt is képes elindítani a parancsok végrehajtására. Információkat szerezhet a rendszer meghajtójának meghatározott könyvtáraiban található fájlokról. Végül a TinyFluff leállíthatja a Node.js értelmező tevékenységeit.

Felkapott

Legnézettebb

Betöltés...