Бэкдор TinyFluff

Киберпреступная организация, отслеживаемая исследователями информационной безопасности как OldGremlin, снова в деле. Этот конкретный субъект угроз предпочитает затаиться и провести всего пару угрожающих кампаний, прежде чем снова погрузиться в спячку. Тем не менее, группа чрезвычайно сложна, и ее атаки тщательно планируются, выполняются и закрываются. Среди отличительных характеристик OldGremlin — тот факт, что его жертвами всегда являются российские компании, и он использует специально созданные бэкдор-угрозы для доставки своей последней полезной нагрузки программ-вымогателей. Следует отметить, что в одном подтвержденном случае группировка потребовала у своих жертв выкуп в размере 3 миллионов долларов, что могло объяснить отсутствие срочности для постоянной активности.

Детали бэкдора

Последние операции OldGremlin включают в себя две фишинговые атаки, которые доставляют новую бэкдор-угрозу под названием TinyFLuff Backdoor. TinyFluff, по-видимому, представляет собой модифицированный и обновленный вариант старой бэкдор-угрозы OldGremlin , отслеживаемой как TinyNode. Исследователи Group-IB наблюдали два разных варианта TinyFluff. Более ранний вариант более сложен, в то время как более поздний вариант был оптимизирован и упрощен для облегчения использования на лету. Угроза бэкдора, вероятно, будет дополнительно оптимизирована для любых будущих атак.

TinyFluff запустит интерпретатор Node.js и предоставит хакерам доступ к взломанным устройствам. Однако перед полной активацией угроза проверит скомпрометированную систему на наличие признаков виртуализации или тестовую среду. После этого TinyFluff перейдет к этапу разведки атакующей операции. Команды, полученные бэкдором, поступают в виде открытого текста, что позволяет исследователям кибербезопасности легко их анализировать.

Согласно их выводам, TinyFluff можно поручить начать сбор системной информации, информации о любых подключенных дисках и установленных в системе заглушках. Угроза также способна запускать оболочку cmd.exe для выполнения команд. Он также может получать информацию о файлах, содержащихся в определенных каталогах на системном диске. Наконец, TinyFluff может прекратить работу интерпретатора Node.js.