Licenças para vários dispositivos (descontos por volume)
Threat Database Advanced Persistent Threat (APT) TinyFluff Backdoor

TinyFluff Backdoor

Por Mezo em Advanced Persistent Threat (APT), Backdoors
Traduzir Para:
Português

A organização cibercriminosa rastreada por pesquisadores de infosec como OldGremlin está de volta à ativa. Esse agente de ameaças em particular prefere ficar quieto e executar apenas algumas campanhas ameaçadoras antes de entrar novamente em dormência. Ainda assim, o grupo é extremamente sofisticado e seus ataques são cuidadosamente planejados, executados e encerrados. Entre as características distintivas do OldGremlin está o fato de que suas vítimas são sempre empresas russas e ele usa ameaças de backdoor personalizadas para entregar suas cargas finais de ransomware. Deve-se notar que em um caso confirmado, o grupo pediu às vítimas um resgate de US$3 milhões, o que poderia explicar a falta de urgência em estar constantemente ativo.

Detalhes sobre o Backdoor

As últimas operações do OldGremlin incluem dois ataques de phishing que entregam uma nova ameaça de backdoor chamada TinyFLuff Backdoor. TinyFluff parece ser uma variante modificada e atualizada de uma antiga ameaça de backdoor OldGremlin rastreada como TinyNode. Os pesquisadores do Grupo-IB observaram duas variantes diferentes do TinyFluff. O anterior é mais complexo, enquanto a variante mais recente foi simplificada e simplificada para facilitar o uso em tempo real. A ameaça de backdoor provavelmente será otimizada para quaisquer ataques futuros.

O TinyFluff lançará um interpretador Node.js e fornecerá aos hackers acesso aos dispositivos violados. No entanto, antes de ser totalmente ativada, a ameaça verificará o sistema comprometido em busca de sinais de virtualização ou de um ambiente de teste. Depois, o TinyFluff passará para o estágio de reconhecimento da operação de ataque. Os comandos recebidos pelo backdoor chegam em forma de texto simples, permitindo que os pesquisadores de segurança cibernética os examinem facilmente.

De acordo com suas descobertas, o TinyFluff pode ser instruído a começar a coletar informações do sistema, informações sobre quaisquer unidades conectadas e a conexão instalada no sistema. A ameaça também é capaz de lançar um shell cmd.exe para executar comandos. Ele pode obter informações sobre arquivos contidos em diretórios específicos na unidade do sistema. Finalmente, o TineFluff pode encerrar as atividades do interpretador Node.js.

Tendendo

Mais visto

Carregando...