Lisenser for flere enheter (volumrabatter)
Threat Database Advanced Persistent Threat (APT) TinyFluff Bakdør

TinyFluff Bakdør

Med Mezo i Advanced Persistent Threat (APT), Backdoors
Oversett til:
Norsk

Den nettkriminelle organisasjonen sporet av infosec-forskere som OldGremlin er tilbake på farten. Denne spesielle trusselaktøren foretrekker å legge seg lavt og utføre bare et par truende kampanjer før han igjen går i dvale. Likevel er gruppen ekstremt sofistikert og angrepene er nøye planlagt, utført og lukket. Blant de karakteristiske egenskapene til OldGremlin er det faktum at ofrene alltid er russiske virksomheter, og den bruker skreddersydde bakdørstrusler for å levere sine endelige løsepengevare. Det skal bemerkes at i ett bekreftet tilfelle ba gruppen ofrene om løsepenger på 3 millioner dollar, noe som kan forklare mangelen på at det haster med å være konstant aktiv.

Bakdørsdetaljer

De siste operasjonene til OldGremlin inkluderer to phishing-angrep som leverer en ny bakdørstrussel kalt TinyFLuff Backdoor. TinyFluff ser ut til å være en modifisert og oppdatert variant av en eldre OldGremlin bakdørstrussel sporet som TinyNode. Forskerne ved Group-IB har observert to forskjellige varianter av TinyFluff. Den tidligere er mer kompleks, mens den nyere varianten har blitt strømlinjeformet og forenklet for å gjøre bruken lettere. Bakdørstrusselen vil sannsynligvis bli ytterligere optimalisert for eventuelle fremtidige angrep.

TinyFluff vil lansere en Node.js-tolk og gi hackerne tilgang til de overtrådte enhetene. Men før den aktiveres fullt ut, vil trusselen sjekke det kompromitterte systemet for tegn på virtualisering eller et testmiljø. Etterpå vil TinyFluff gå videre til rekognoseringsstadiet av angrepsoperasjonen. Kommandoene mottatt av bakdøren kommer i klartekstform, slik at cybersikkerhetsforskerne enkelt kan undersøke dem.

I følge funnene deres kan TinyFluff bli instruert til å begynne å samle inn systeminformasjon, informasjon om eventuelle tilkoblede stasjoner og pluggingen installert på systemet. Trusselen er også i stand til å starte et cmd.exe-skall for å utføre kommandoer. Den kan få informasjon om filer i bestemte kataloger på systemets stasjon. Til slutt kan TinyFluff avslutte aktivitetene til Node.js-tolken.

Trender

Mest sett

Laster inn...