TinyFluff Backdoor

Organizacja cyberprzestępcza śledzona przez badaczy infosec jako OldGremlin powraca do akcji. Ten konkretny aktor-zagrożenia woli się ukrywać i przeprowadzać tylko kilka groźnych kampanii, zanim ponownie przejdzie w stan uśpienia. Mimo to grupa jest niezwykle wyrafinowana, a jej ataki są starannie planowane, wykonywane i zamykane. Jedną z wyróżniających cech OldGremlin jest fakt, że jego ofiarami są zawsze rosyjskie firmy i wykorzystuje on niestandardowe zagrożenia typu backdoor, aby dostarczać swoje końcowe ładunki ransomware. Należy zauważyć, że w jednym potwierdzonym przypadku grupa poprosiła swoje ofiary o okup w wysokości 3 milionów dolarów, co może tłumaczyć brak pośpiechu, by być stale aktywnym.

Szczegóły backdoora

Najnowsze operacje OldGremlin obejmują dwa ataki phishingowe, które dostarczają nowe zagrożenie typu backdoor o nazwie TinyFLuff Backdoor. TinyFluff wydaje się być zmodyfikowanym i zaktualizowanym wariantem starszego zagrożenia typu backdoor OldGremlin śledzonego jako TinyNode. Naukowcy z Group-IB zaobserwowali dwa różne warianty TinyFluff. Wcześniejszy wariant jest bardziej złożony, podczas gdy nowszy wariant został uproszczony i uproszczony, aby ułatwić korzystanie z niego w locie. Zagrożenie backdoorem prawdopodobnie zostanie dodatkowo zoptymalizowane pod kątem przyszłych ataków.

TinyFluff uruchomi interpreter Node.js i zapewni hakerom dostęp do złamanych urządzeń. Jednak przed pełną aktywacją zagrożenie sprawdzi skompromitowany system pod kątem oznak wirtualizacji lub środowiska testowego. Następnie TinyFluff przejdzie do etapu rozpoznania operacji ataku. Polecenia otrzymywane przez backdoora przychodzą w postaci zwykłego tekstu, co pozwala badaczom cyberbezpieczeństwa na łatwe ich zbadanie.

Zgodnie z ich ustaleniami, TinyFluff może zostać poinstruowany, aby zaczął zbierać informacje o systemie, informacje o wszelkich podłączonych dyskach i wtyczkach zainstalowanych w systemie. Zagrożenie jest również zdolne do uruchomienia powłoki cmd.exe w celu wykonania poleceń. Może też uzyskać informacje o plikach zawartych w określonych katalogach na dysku systemowym. Wreszcie TinyFluff może zakończyć działania interpretera Node.js.