TinyFluff Backdoor

Organizacija kibernetskih kriminalcev, ki jo raziskovalci infosec spremljajo kot OldGremlin, je spet na poti. Ta akter grožnje se raje umiri in izvede le nekaj grozečih akcij, preden ponovno preide v stanje mirovanja. Kljub temu je skupina izjemno sofisticirana in njeni napadi so skrbno načrtovani, izvedeni in zaprti. Med značilnimi značilnostmi OldGremlina je dejstvo, da so njegove žrtve vedno ruska podjetja in uporablja po meri izdelane grožnje iz zakulisja za dostavo svojih končnih obremenitev izsiljevalske programske opreme. Treba je opozoriti, da je v enem potrjenem primeru skupina od svojih žrtev zahtevala odkupnino v višini 3 milijone dolarjev, kar bi lahko pojasnilo pomanjkanje nujnosti, da bi bili nenehno aktivni.

Podrobnosti o zadnjih vratih

Najnovejše operacije OldGremlina vključujejo dva napada z lažnim predstavljanjem, ki prinašata novo grožnjo v zakulisju, imenovano TinyFLuff Backdoor. Zdi se, da je TinyFluff spremenjena in posodobljena različica starejše grožnje zalednih vrat OldGremlin , ki se spremlja kot TinyNode. Raziskovalci pri Group-IB so opazili dve različni različici TinyFluffa. Prejšnja različica je bolj zapletena, medtem ko je bila novejša različica racionalizirana in poenostavljena za lažjo uporabo med vožnjo. Grožnja iz zakulisja bo verjetno dodatno optimizirana za morebitne prihodnje napade.

TinyFluff bo zagnal tolmač Node.js in hekerjem omogočil dostop do vdornih naprav. Toda preden se v celoti aktivira, bo grožnja v ogroženem sistemu preverila znake virtualizacije ali preizkusnega okolja. Nato bo TinyFluff prešel na izvidniško fazo napadalne operacije. Ukazi, ki jih prejme backdoor, prispejo v obliki jasnega besedila, kar omogoča raziskovalcem kibernetske varnosti, da jih enostavno pregledajo.

Glede na njihove ugotovitve je mogoče TinyFluffu naročiti, naj začne zbirati sistemske informacije, informacije o vseh povezanih pogonih in vtičih, nameščenih v sistemu. Grožnja je tudi sposobna zagnati lupino cmd.exe za izvajanje ukazov. Prav tako lahko pridobi informacije o datotekah v določenih imenikih na sistemskem pogonu. Končno lahko TinyFluff prekine dejavnosti tolmača Node.js.