TinyFluff Backdoor

L'organizzazione criminale informatica monitorata dai ricercatori di infosec mentre OldGremlin è tornata in movimento. Questo particolare attore di minacce preferisce rimanere basso ed eseguire solo un paio di campagne minacciose prima di andare nuovamente in letargo. Tuttavia, il gruppo è estremamente sofisticato ei suoi attacchi sono accuratamente pianificati, eseguiti e chiusi. Tra le caratteristiche distintive di OldGremlin c'è il fatto che le sue vittime sono sempre aziende russe e utilizza minacce backdoor personalizzate per fornire i suoi payload di ransomware finali. Va notato che in un caso confermato, il gruppo ha chiesto alle sue vittime un riscatto di 3 milioni di dollari, il che potrebbe spiegare la mancanza di urgenza di essere costantemente attivi.

Dettagli della porta sul retro

Le ultime operazioni di OldGremlin includono due attacchi di phishing che forniscono una nuova minaccia backdoor denominata TinyFLuff Backdoor. TinyFluff sembra essere una variante modificata e aggiornata di una vecchia minaccia backdoor OldGremlin tracciata come TinyNode. I ricercatori del Group-IB hanno osservato due diverse varianti di TinyFluff. La prima è più complessa mentre la variante più recente è stata snella e semplificata per facilitarne l'uso al volo. È probabile che la minaccia backdoor venga ulteriormente ottimizzata per eventuali attacchi futuri.

TinyFluff lancerà un interprete Node.js e fornirà agli hacker l'accesso ai dispositivi violati. Tuttavia, prima di essere completamente attivata, la minaccia verificherà la presenza di segni di virtualizzazione o di un ambiente di test nel sistema compromesso. Successivamente, TinyFluff passerà alla fase di ricognizione dell'operazione di attacco. I comandi ricevuti dalla backdoor arrivano in chiaro, consentendo ai ricercatori di cybersecurity di esaminarli facilmente.

Secondo i loro risultati, TinyFluff può essere istruito per iniziare a raccogliere informazioni sul sistema, informazioni su qualsiasi unità collegata e il collegamento installato sul sistema. La minaccia è anche in grado di avviare una shell cmd.exe per eseguire comandi. Può anche ottenere informazioni sui file contenuti in directory specifiche sull'unità del sistema. Infine, TinyFluff può terminare le attività dell'interprete Node.js.