OldGremlin

Descrição do OldGremlin

OldGremlin é o nome dado a um novo grupo de hackers cujas operações foram descobertas por especialistas em segurança cibernética. Até agora, as atividades do OldGremlin foram localizadas relativamente, visando apenas organizações russas. Com os hackers pertencentes ao OldGremlin parecendo saber russo fluentemente, parece que eles não estão aderindo à regra que até mesmo outros grupos maiores de hackers seguem - não visar países russos ou pós-soviéticos. Uma explicação pode ser que o OldGremlin está aproveitando seu conhecimento significativo sobre os assuntos atuais da Rússia para melhor posicionar suas tentativas de spear-phishing para ter sucesso, enquanto também ajusta seus métodos de ataque e ferramentas de malware.

O OldGremlin Adapta Rapidamente Eventos Atuais para Ataques de Phishing

De fato, nas várias campanhas ameaçadoras que foram detectadas, o grupo exibiu um conhecimento considerável e utilizou táticas avançadas de engenharia social para ganhar uma posição dentro das empresas-alvo. Na primeira campanha atribuída ao grupo, o OldGremlin visou uma grande organização médica enviando um e-mail de phishing em que se fazia passar pela holding de mídia RBC. Quando o COVID-19 preencheu o ciclo de notícias, os hackers mudaram de tática e começaram a enviar e-mails que supostamente eram da organização Mikrofinansirovaniye i Razvitiye (SRO MiR) e continham instruções falsas sobre como gerar um ambiente de trabalho seguro em meio à pandemia . O mesmo método de phishing foi usado novamente, mas, desta vez, os criminosos se passaram pela clínica odontológica Novadent.

Quando os protestos na Bielo-Rússia começaram, oOldGremlin foi rápido em tirar vantagem da nova situação. Os hackers criaram rapidamente uma nova série de e-mails de phishing, desta vez fingindo ter sido enviados pelo CEO da Minsk Tractor Works (MTZ). O nome usado para os e-mails era 'Alesya Vladimirovna' ou 'AV Volokhina', que são personalidades falsas, enquanto o verdadeiro CEO da empresa se chama Vitaly Vovk. Nos e-mails que o OldGremlin disseminou para várias organizações financeiras russas, os hackers se passando por MTZ alegaram que estavam sob inspeção de um promotor por supostamente participarem do protesto. Eles pediram às empresas-alvo que fornecessem documentos adicionais. No processo, as redes internas das empresas foram comprometidas.

O OldGremilin Emprega uma Mistura de Ferramentas de Malware Auto-Desenvolvidas Junto com Software de Terceiros

Após um ataque de phishing bem-sucedido, o OldGremlin estabelece uma posição segura na rede da empresa, instalando qualquer uma das duas peças personalizadas de malware backdoor chamadas TinyNode e TinyPosh. O TinyPosh, por exemplo, é capaz de alcançar persistência dentro do sistema, escalando os privilégios da conta da qual foi executado, e é capaz de lançar a carga útil do Cobalt Strike Beacon. Para ocultar o endereço C&C real, os hackers usaram o servidor Cloudflare Workers. De acordo com os especialistas do Group-IB, para ocultar os servidores de comando e controle usados para as campanhas, o OldGremlin empregou o servidor Cloudflare Workers. Quanto ao TinyNode, ele é usado para baixar e executar módulos de malware adicionais principalmente.

Uma vez lá dentro, os hackers começam a se mover pela rede comprometida lateralmente para procurar alvos específicos. Para garantir que suas ações deixem uma marca limitada, eles usam a estrutura Cobalt Strike. Na campanha de ataque contra a organização médica, o OldGremlin espreitou pela rede por semanas até obter as credenciais de administrador de domínio. Depois disso, os hackers excluíram todos os backups dos sistemas e implantaram uma ameaça de ransomware personalizada chamada TinyCryptor (também conhecida como TinyCrypt/TInyCryptor/Decr1pt Ransomware). Para esta campanha particular, os criminosos exigiram o pagamento de $50,000 em criptomoeda e usaram um endereço ProtonMail para contato.