TinyFluff Backdoor
Kibernetinė nusikaltėlių organizacija, kurią „OldGremlin“ stebėjo infosec tyrinėtojai, vėl pajuda. Šis konkretus grėsmių veikėjas nori nusileisti ir įvykdyti tik keletą grasinančių kampanijų, kol vėl pereina į ramybės būseną. Vis dėlto grupė yra itin sudėtinga, jos atakos kruopščiai suplanuotos, vykdomos ir uždaros. Tarp skiriamųjų „OldGremlin“ ypatybių yra tai, kad jo aukos visada yra Rusijos įmonės ir ji naudoja pagal užsakymą sukurtus užpakalinių durų grasinimus, kad pristatytų savo galutines išpirkos reikalaujančias programas. Pažymėtina, kad vienu patvirtintu atveju grupuotė iš savo aukų prašė 3 milijonų dolerių išpirkos, o tai galėtų paaiškinti skubos nuolatinio aktyvumo nebuvimą.
Užpakalinių durų detalės
Naujausios „OldGremlin“ operacijos apima dvi sukčiavimo atakas, kurios sukelia naują užpakalinių durų grėsmę, pavadintą „TinyFLuff Backdoor“. Atrodo, kad TinyFluff yra modifikuotas ir atnaujintas senesnės OldGremlin užpakalinių durų grėsmės variantas, stebimas kaip TinyNode. Grupės IB tyrėjai pastebėjo du skirtingus TinyFluff variantus. Ankstesnis variantas yra sudėtingesnis, o naujesnis variantas buvo supaprastintas ir supaprastintas, kad būtų lengviau naudotis skrydžio metu. Tikėtina, kad užpakalinių durų grėsmė bus dar labiau optimizuota bet kokioms būsimoms atakoms.
TinyFluff paleis Node.js interpretatorių ir suteiks įsilaužėliams prieigą prie pažeistų įrenginių. Tačiau prieš visiškai suaktyvindama grėsmę, ji patikrins, ar pažeistoje sistemoje nėra virtualizacijos požymių arba bandomosios aplinkos. Po to TinyFluff pereis į atakos operacijos žvalgybos etapą. Užpakalinių durų gaunamos komandos pateikiamos aiškiu tekstu, todėl kibernetinio saugumo tyrinėtojai gali jas lengvai išnagrinėti.
Remiantis jų išvadomis, TinyFluff gali būti nurodyta pradėti rinkti sistemos informaciją, informaciją apie visus prijungtus diskus ir sistemoje įdiegtą prijungimą. Grėsmė taip pat gali paleisti cmd.exe apvalkalą komandoms vykdyti. Jis gali gauti informacijos apie failus, esančius konkrečiuose sistemos disko kataloguose. Galiausiai, TinyFluff gali nutraukti Node.js interpretatoriaus veiklą.
