OldGremlin
OldGremlin to nazwa nadana nowej grupie hakerów, której działania zostały odkryte przez ekspertów ds. Cyberbezpieczeństwa. Do tej pory działania OldGremlin były stosunkowo zlokalizowane, a ich celem były tylko organizacje rosyjskie. Ponieważ hakerzy należący do OldGremlin najwyraźniej znają biegle rosyjski, wydaje się, że nie stosują się do zasady, którą przestrzegają nawet inne większe grupy hakerów - nie atakują krajów rosyjskich lub postsowieckich. Jednym z wyjaśnień może być to, że OldGremlin wykorzystuje swoją rozległą wiedzę na temat bieżących spraw Rosji, aby lepiej pozycjonować swoje próby phishingu spear-phishing, aby odnieść sukces, jednocześnie dostosowując metody ataku i narzędzia szkodliwego oprogramowania.
OldGremlin szybko dostosowuje bieżące wydarzenia do ataków phishingowych
Rzeczywiście, w kilku wykrytych groźnych kampaniach grupa wykazała się znaczną wiedzą i wykorzystała zaawansowane taktyki socjotechniczne, aby zdobyć przyczółek w zaatakowanych firmach. W pierwszej kampanii przypisanej grupie OldGremlin zaatakował dużą organizację medyczną, wysyłając e-mail phishingowy, w którym podszywał się pod holding medialny RBC. Kiedy COVID-19 wypełnił cykl wiadomości, hakerzy zmienili taktykę i zaczęli wysyłać e-maile, które rzekomo pochodziły od organizacji Mikrofinansirovaniye i Razvitiye (SRO MiR) i zawierały fałszywe instrukcje, jak stworzyć bezpieczne środowisko pracy w środku pandemii. . Po raz kolejny zastosowano tę samą metodę phishingu, ale tym razem przestępcy podszyli się pod klinikę dentystyczną Novadent.
Kiedy rozpoczęły się protesty na Białorusi, StaryGremlin szybko wykorzystał nową sytuację. Hakerzy szybko przygotowali nową serię wiadomości phishingowych, tym razem podszywając się pod prezesa Minsk Tractor Works (MTZ). Imię użyte w e-mailach brzmiało „Alesya Vladimirovna” lub „AV Volokhina”, które są fałszywymi osobowościami, podczas gdy prawdziwy dyrektor generalny firmy nazywa się Witalij Wowk. W e-mailach, które OldGremlin rozesłał do różnych rosyjskich organizacji finansowych, hakerzy podający się za MTZ twierdzili, że byli pod kontrolą prokuratora w związku z rzekomym udziałem w proteście. Poprosili docelowe firmy o dostarczenie dodatkowych dokumentów. W trakcie tego procesu wewnętrzne sieci firm zostały naruszone.
OldGremilin wykorzystuje mieszankę samodzielnie opracowanych narzędzi do złośliwego oprogramowania oraz oprogramowania innych firm
Po udanym ataku phishingowym OldGremlin tworzy przyczółek w sieci firmowej, instalując jeden z dwóch niestandardowych elementów złośliwego oprogramowania typu backdoor o nazwach TinyNode i TinyPosh. Na przykład TinyPosh jest w stanie osiągnąć trwałość w systemie, eskalować uprawnienia konta, z którego został wykonany, i jest w stanie uruchomić ładunek Cobalt Strike Beacon. Aby ukryć prawdziwy adres C&C, hakerzy wykorzystali serwer Cloudflare Workers. Według ekspertów Group-IB, aby ukryć serwery Command-and-Control używane w kampaniach, OldGremlin wykorzystał serwer Cloudflare Workers. Jeśli chodzi o TinyNode, służy on głównie do pobierania i uruchamiania dodatkowych modułów złośliwego oprogramowania.
Po wejściu do środka hakerzy zaczynają poruszać się po zaatakowanej sieci w poszukiwaniu określonych celów. Aby mieć pewność, że ich działania pozostawiają ograniczony ślad, używają frameworka Cobalt Strike. W kampanii ataku na organizację medyczną OldGremlin czaił się w sieci tygodniami, dopóki nie uzyskał danych uwierzytelniających administratora domeny. Następnie hakerzy usunęli wszystkie kopie zapasowe systemów i wdrożyli niestandardowe zagrożenie ransomware o nazwie TinyCryptor (aka TinyCrypt / TInyCryptor / Decr1pt Ransomware). W przypadku tej konkretnej kampanii przestępcy zażądali zapłaty 50 000 USD w kryptowalucie i użyli adresu ProtonMail do kontaktu.
