타이니플러프 백도어

OldGremlin이 다시 움직이면서 정보 보안 연구원이 추적한 사이버 범죄 조직입니다. 이 특정 위협 행위자는 다시 휴면 상태에 빠지기 전에 몸을 낮추고 위협적인 캠페인 몇 개만 실행하는 것을 선호합니다. 그럼에도 불구하고 이 그룹은 매우 정교하며 공격을 신중하게 계획하고 실행하고 폐쇄합니다. OldGremlin의 두드러진 특징 중 하나는 희생자가 항상 러시아 기업이고 맞춤형 백도어 위협을 사용하여 최종 랜섬웨어 페이로드를 전달한다는 사실입니다. 확인된 한 사례에서 이 단체는 피해자들에게 몸값 300만 달러를 요구했는데, 이는 지속적으로 활동해야 할 시급함이 부족한 이유를 설명할 수 있습니다.

백도어 세부정보

OldGremlin의 최신 작업에는 TinyFLuff Backdoor라는 새로운 백도어 위협을 전달하는 두 가지 피싱 공격이 포함됩니다. TinyFluff는 TinyNode로 추적되는 이전 OldGremlin 백도어 위협의 수정 및 업데이트된 변종으로 보입니다. Group-IB의 연구원들은 TinyFluff의 두 가지 다른 변종을 관찰했습니다. 이전 버전은 더 복잡하지만 최신 버전은 즉석에서 쉽게 사용할 수 있도록 간소화 및 단순화되었습니다. 백도어 위협은 향후 공격에 대해 더욱 최적화될 가능성이 높습니다.

TinyFluff는 Node.js 인터프리터를 시작하고 해커에게 침해된 장치에 대한 액세스 권한을 제공합니다. 그러나 완전히 활성화되기 전에 위협 요소는 손상된 시스템에 가상화 또는 테스트 환경의 징후가 있는지 확인합니다. 이후 TinyFluff는 공격 작전의 정찰 단계로 넘어갑니다. 백도어에서 수신한 명령은 일반 텍스트 형식으로 도착하므로 사이버 보안 연구원이 쉽게 검사할 수 있습니다.

그들의 연구 결과에 따르면 TinyFluff는 시스템 정보, 연결된 드라이브에 대한 정보 및 시스템에 설치된 플러깅 수집을 시작하도록 지시받을 수 있습니다. 이 위협 요소는 명령을 실행하기 위해 cmd.exe 셸을 실행할 수도 있습니다. 시스템 드라이브의 특정 디렉토리에 포함된 파일에 대한 정보를 얻을 수 있습니다. 마지막으로 TinyFluff는 Node.js 인터프리터의 활동을 종료할 수 있습니다.