Old Gremlin

Old Gremlin Beschrijving

OldGremlin is de naam die is gegeven aan een nieuwe hackergroep waarvan de activiteiten zijn ontdekt door cybersecurity-experts. Tot dusverre zijn de activiteiten van OldGremlin relatief gelokaliseerd, alleen gericht op Russische organisaties. Nu de hackers van OldGremlin vloeiend Russisch lijken te kennen, lijkt het erop dat ze zich niet houden aan de regel die zelfs andere grotere hackergroepen volgen - niet om Russische of post-Sovjetlanden te targeten. Een verklaring zou kunnen zijn dat OldGremlin hun aanzienlijke kennis over de actualiteit van Rusland gebruikt om hun spear-phishing-pogingen om te slagen beter te positioneren, terwijl ze ook hun aanvalsmethoden en malwaretools verfijnen.

OldGremlin past actuele gebeurtenissen snel aan voor phishing-aanvallen

Inderdaad, in de verschillende bedreigende campagnes die zijn ontdekt, heeft de groep aanzienlijke kennis getoond en geavanceerde social engineering-tactieken gebruikt om voet aan de grond te krijgen binnen de beoogde bedrijven. In de eerste campagne die aan de groep werd toegeschreven, richtte OldGremlin zich op een grote medische organisatie door een phishing-e-mail te sturen waarin ze zich voordeden als de mediaholding RBC. Toen COVID-19 de nieuwscyclus vulde, veranderden de hackers van tactiek en begonnen ze e-mails te sturen die zogenaamd afkomstig waren van de organisatie Mikrofinansirovaniye i Razvitiye (SRO MiR) en die valse instructies bevatten over hoe ze een veilige werkomgeving konden creëren te midden van de pandemie. . Dezelfde phishing-methode werd opnieuw gebruikt, maar deze keer deden de criminelen zich voor als de tandheelkundige kliniek Novadent.

Toen de protesten in Wit-Rusland begonnen, profiteerde OldGremlin snel van de nieuwe situatie. De hackers maakten snel een nieuwe reeks phishing-e-mails, deze keer alsof ze waren verzonden door de CEO van Minsk Tractor Works (MTZ). De naam die voor de e-mails werd gebruikt, was 'Alesya Vladimirovna' of 'AV Volokhina', neppersoonlijkheden, terwijl de echte CEO van het bedrijf Vitaly Vovk heet. In de e-mails die OldGremlin verstuurde naar verschillende Russische financiële organisaties, beweerden de hackers die zich voordeden als MTZ dat ze onder toezicht stonden van een officier van justitie omdat ze naar verluidt aan het protest hadden deelgenomen. Ze vroegen de beoogde bedrijven om aanvullende documenten te verstrekken. Daarbij kwamen de interne netwerken van de bedrijven in gevaar.

OldGremilin maakt gebruik van een mix van zelfontwikkelde malwaretools naast software van derden

Na een succesvolle phishing-aanval vestigt OldGremlin voet aan de grond binnen het netwerk van het bedrijf door een van de twee op maat gemaakte stukjes backdoor-malware genaamd TinyNode en TinyPosh te installeren. TinyPosh is bijvoorbeeld in staat om persistentie binnen het systeem te bereiken, de privileges van het account van waaruit het werd uitgevoerd te escaleren, en is in staat om de Cobalt Strike Beacon-payload te starten. Om het echte C & C-adres te verbergen, gebruikten de hackers de Cloudflare Workers-server. Volgens de experts van Group-IB gebruikte OldGremlin de Cloudflare Workers-server om de Command-and-Control-servers die voor de campagnes worden gebruikt te verbergen. Wat betreft TinyNode, het wordt voornamelijk gebruikt om aanvullende malwaremodules te downloaden en uit te voeren.

Eenmaal binnen beginnen de hackers zich lateraal door het gecompromitteerde netwerk te verplaatsen om naar specifieke doelen te zoeken. Om ervoor te zorgen dat hun acties een beperkte indruk achterlaten, gebruiken ze het Cobalt Strike-framework. In de aanvalscampagne tegen de medische organisatie loerde OldGremlin wekenlang door het netwerk totdat het de inloggegevens van de domeinbeheerder verkreeg. Daarna verwijderden de hackers alle back-ups van het systeem en implementeerden ze een aangepaste ransomwarebedreiging genaamd TinyCryptor (ook bekend als TinyCrypt / TInyCryptor / Decr1pt Ransomware). Voor deze specifieke campagne eisten de criminelen betaling van $ 50.000 in cryptocurrency en gebruikten ze een ProtonMail-adres voor contact.