TinyFluff Backdoor

Organizația criminală cibernetică urmărită de cercetătorii Infosec ca OldGremlin este din nou în mișcare. Acest actor special de amenințare preferă să se lase jos și să execute doar câteva campanii de amenințare înainte de a intra din nou în repaus. Totuși, grupul este extrem de sofisticat și atacurile sale sunt atent planificate, executate și închise. Printre caracteristicile distinctive ale OldGremlin se numără faptul că victimele sale sunt întotdeauna companii rusești și că folosește amenințări personalizate pentru a-și livra încărcăturile finale de ransomware. De remarcat că într-un caz confirmat, grupul a cerut victimelor o răscumpărare de 3 milioane de dolari, ceea ce ar putea explica lipsa urgenței de a fi activ în mod constant.

Detalii ușa din spate

Cele mai recente operațiuni ale OldGremlin includ două atacuri de tip phishing care generează o nouă amenințare backdoor numită TinyFLuff Backdoor. TinyFluff pare a fi o variantă modificată și actualizată a unei amenințări vechi OldGremlin , urmărită ca TinyNode. Cercetătorii de la Group-IB au observat două variante diferite de TinyFluff. Cea mai devreme este mai complexă, în timp ce varianta mai recentă a fost raționalizată și simplificată pentru a facilita utilizarea din mers. Este posibil ca amenințarea backdoor să fie optimizată în continuare pentru orice atacuri viitoare.

TinyFluff va lansa un interpret Node.js și va oferi hackerilor acces la dispozitivele încălcate. Cu toate acestea, înainte de a fi activată complet, amenințarea va verifica sistemul compromis pentru semne de virtualizare sau un mediu de testare. Ulterior, TinyFluff va trece la etapa de recunoaștere a operațiunii de atac. Comenzile primite de backdoor ajung sub formă de text clar, permițând cercetătorilor în securitate cibernetică să le examineze cu ușurință.

Conform constatărilor lor, TinyFluff poate fi instruit să înceapă să colecteze informații despre sistem, informații despre orice unități conectate și conectarea instalată pe sistem. De asemenea, amenințarea este capabilă să lanseze un shell cmd.exe pentru a executa comenzi. Poate obține informații despre fișierele conținute în directoare specifice de pe unitatea sistemului. În cele din urmă, TinyFluff poate opri activitățile interpretului Node.js.

Trending

Cele mai văzute

Se încarcă...