TinyFluff Backdoor

Kibernoziedznieku organizācija, kuru Infosec pētnieki izseko kā OldGremlin, atkal ir kustībā. Šis konkrētais draudu aktieris dod priekšroku nolaisties un veikt tikai dažas draudu kampaņas, pirms atkal nonāk miera stāvoklī. Tomēr grupa ir ārkārtīgi izsmalcināta, un tās uzbrukumi ir rūpīgi plānoti, izpildīti un slēgti. Viena no OldGremlin atšķirīgām iezīmēm ir fakts, ka tā upuri vienmēr ir Krievijas uzņēmumi un tas izmanto pēc pasūtījuma izgatavotus aizmugures draudus, lai piegādātu pēdējās izspiedējvīrusu slodzes. Jāpiebilst, ka vienā apstiprinātā gadījumā grupa saviem upuriem prasīja izpirkuma maksu 3 miljonu dolāru apmērā, kas varētu izskaidrot steidzamības trūkumu pastāvīgi darboties.

Sīkāka informācija par aizmugurējām durvīm

Jaunākās OldGremlin operācijas ietver divus pikšķerēšanas uzbrukumus, kas rada jaunus aizmugures draudus ar nosaukumu TinyFLuff Backdoor. Šķiet, ka TinyFluff ir modificēts un atjaunināts vecāka OldGremlin aizmugures apdraudējuma variants, kas izsekots kā TinyNode. Grupas IB pētnieki ir novērojuši divus dažādus TinyFluff variantus. Iepriekšējais ir sarežģītāks, savukārt jaunākais variants ir racionalizēts un vienkāršots, lai atvieglotu lietošanu lidojumā. Aizmugures durvju draudi, visticamāk, tiks vēl vairāk optimizēti jebkuriem turpmākiem uzbrukumiem.

TinyFluff palaidīs Node.js tulku un nodrošinās hakeriem piekļuvi uzlauztajām ierīcēm. Tomēr pirms pilnīgas aktivizēšanas apdraudējums pārbaudīs, vai apdraudētajā sistēmā nav virtualizācijas vai testa vides pazīmju. Pēc tam TinyFluff pāries uz uzbrukuma operācijas izlūkošanas posmu. Aizmugurējās durvis saņem komandas skaidrā teksta formātā, kas ļauj kiberdrošības pētniekiem tās viegli pārbaudīt.

Saskaņā ar viņu atklājumiem TinyFluff var tikt uzdots sākt vākt informāciju par sistēmu, informāciju par visiem pievienotajiem diskdziņiem un sistēmā instalēto pieslēgšanu. Draudi var arī palaist čaulu cmd.exe, lai izpildītu komandas. Tas var iegūt informāciju par failiem, kas atrodas konkrētos sistēmas diska direktorijos. Visbeidzot, TinyFluff var pārtraukt Node.js tulka darbības.