OldGremlin
OldGremlin è il nome dato a un nuovo gruppo di hacker le cui operazioni sono state scoperte da esperti di sicurezza informatica. Finora, le attività di OldGremlin sono state relativamente localizzate, rivolgendosi solo alle organizzazioni russe. Con gli hacker di OldGremlin che sembrano conoscere fluentemente il russo, sembra che non stiano aderendo alla regola che seguono anche altri gruppi di hacker più grandi: non prendere di mira i paesi russi o post-sovietici. Una spiegazione potrebbe essere che OldGremlin sta sfruttando la sua significativa conoscenza degli affari correnti della Russia per posizionare meglio i suoi tentativi di spear-phishing per avere successo, ottimizzando anche i metodi di attacco e gli strumenti malware.
OldGremlin adatta rapidamente gli eventi correnti agli attacchi di phishing
In effetti, nelle numerose campagne minacciose che sono state rilevate, il gruppo ha mostrato una notevole conoscenza e ha sfruttato tattiche avanzate di ingegneria sociale per ottenere un punto d'appoggio all'interno delle società prese di mira. Nella prima campagna attribuita al gruppo, OldGremlin ha preso di mira una grande organizzazione medica inviando un'e-mail di phishing in cui impersonavano la holding di media RBC. Quando COVID-19 ha compilato il ciclo delle notizie, gli hacker hanno cambiato tattica e hanno iniziato a inviare e-mail che presumibilmente provenivano dall'organizzazione Mikrofinansirovaniye i Razvitiye (SRO MiR) e contenevano false istruzioni su come generare un ambiente di lavoro sicuro nel mezzo della pandemia . Lo stesso metodo di phishing è stato utilizzato ancora una volta, ma, questa volta, i criminali hanno impersonato lo studio dentistico Novadent.
Quando sono iniziate le proteste in Bielorussia, OldGremlin ha approfittato subito della nuova situazione. Gli hacker hanno rapidamente creato una nuova serie di e-mail di phishing, questa volta fingendo di essere state inviate dal CEO di Minsk Tractor Works (MTZ). Il nome utilizzato per le e-mail era "Alesya Vladimirovna" o "AV Volokhina", che sono personalità false, mentre il vero CEO dell'azienda si chiama Vitaly Vovk. Nelle e-mail che OldGremlin ha diffuso a varie organizzazioni finanziarie russe, gli hacker che si spacciano per MTZ, hanno affermato di essere sotto l'ispezione di un pubblico ministero a causa della presunta partecipazione alla protesta. Hanno chiesto alle società interessate di fornire documenti aggiuntivi. Nel processo, le reti interne delle aziende sono state compromesse.
OldGremilin utilizza un mix di strumenti malware sviluppati autonomamente insieme a software di terze parti
A seguito di un attacco di phishing riuscito, OldGremlin stabilisce un punto d'appoggio all'interno della rete dell'azienda installando uno dei due malware backdoor creati su misura chiamati TinyNode e TinyPosh. TinyPosh, ad esempio, è in grado di ottenere la persistenza all'interno del sistema, aumentando i privilegi dell'account da cui è stato eseguito ed è in grado di lanciare il payload Cobalt Strike Beacon. Per nascondere il vero indirizzo C&C, gli hacker hanno utilizzato il server Cloudflare Workers. Secondo gli esperti di Group-IB, per nascondere i server Command-and-Control utilizzati per le campagne, OldGremlin ha utilizzato il server Cloudflare Workers. Per quanto riguarda TinyNode, viene utilizzato principalmente per scaricare ed eseguire moduli malware aggiuntivi.
Una volta all'interno, gli hacker iniziano a spostarsi lateralmente attraverso la rete compromessa per cercare bersagli specifici. Per garantire che le loro azioni lascino un'impronta limitata, utilizzano il framework Cobalt Strike. Nella campagna di attacco contro l'organizzazione medica, OldGremlin si è nascosto nella rete per settimane fino a quando non ha ottenuto le credenziali di amministratore del dominio. Successivamente, gli hacker hanno eliminato tutti i backup dei sistemi e hanno implementato una minaccia ransomware personalizzata chiamata TinyCryptor (aka TinyCrypt / TInyCryptor / Decr1pt Ransomware). Per questa particolare campagna, i criminali hanno richiesto il pagamento di $ 50.000 in criptovaluta e hanno utilizzato un indirizzo ProtonMail per il contatto.
