TinyFluff Backdoor

De cybercriminele organisatie die door infosec-onderzoekers wordt gevolgd als OldGremlin, is weer in beweging. Deze specifieke dreigingsactor geeft er de voorkeur aan zich neer te leggen en slechts een paar bedreigende campagnes uit te voeren voordat hij weer in slaap valt. Toch is de groep uiterst geavanceerd en zijn aanvallen zorgvuldig gepland, uitgevoerd en gesloten. Een van de onderscheidende kenmerken van OldGremlin is het feit dat de slachtoffers altijd Russische bedrijven zijn en dat het op maat gemaakte achterdeurbedreigingen gebruikt om zijn uiteindelijke ransomware-payloads te leveren. Opgemerkt moet worden dat de groep in één bevestigd geval zijn slachtoffers om een losgeld van $ 3 miljoen vroeg, wat het gebrek aan urgentie om constant actief te zijn zou kunnen verklaren.

Achterdeurdetails

De nieuwste operaties van OldGremlin omvatten twee phishing-aanvallen die een nieuwe backdoor-bedreiging opleveren, genaamd TinyFLuff Backdoor. TinyFluff lijkt een aangepaste en bijgewerkte variant te zijn van een oudere OldGremlin- achterdeurbedreiging die wordt gevolgd als TinyNode. De onderzoekers van Group-IB hebben twee verschillende varianten van TinyFluff waargenomen. De eerdere variant is complexer, terwijl de meer recente variant is gestroomlijnd en vereenvoudigd om het gebruik on-the-fly te vergemakkelijken. De backdoor-dreiging zal waarschijnlijk verder worden geoptimaliseerd voor toekomstige aanvallen.

TinyFluff zal een Node.js-interpreter lanceren en de hackers toegang geven tot de geschonden apparaten. Voordat de dreiging echter volledig wordt geactiveerd, controleert hij het gecompromitteerde systeem op tekenen van virtualisatie of een testomgeving. Daarna gaat TinyFluff verder met de verkenningsfase van de aanvalsoperatie. De commando's die door de achterdeur worden ontvangen, komen in duidelijke tekst aan, zodat de cybersecurity-onderzoekers ze gemakkelijk kunnen onderzoeken.

Volgens hun bevindingen kan TinyFluff worden geïnstrueerd om systeeminformatie te verzamelen, informatie over eventuele aangesloten schijven en de pluggen die op het systeem zijn geïnstalleerd. De dreiging kan ook een cmd.exe-shell starten om opdrachten uit te voeren. Het kan allemaal informatie verkrijgen over bestanden in specifieke mappen op de systeemschijf. Ten slotte kan TinyFluff de activiteiten van de Node.js-interpreter beëindigen.