TinyFluff Backdoor

Organizata kriminale kibernetike e gjurmuar nga studiuesit e infosec ndërsa OldGremlin është kthyer në lëvizje. Ky aktor i veçantë i kërcënimit preferon të qëndrojë i ulët dhe të ekzekutojë vetëm disa fushata kërcënuese përpara se të hyjë sërish në gjumë. Megjithatë, grupi është jashtëzakonisht i sofistikuar dhe sulmet e tij janë planifikuar, ekzekutuar dhe mbyllur me kujdes. Ndër karakteristikat dalluese të OldGremlin është fakti se viktimat e tij janë gjithmonë biznese ruse dhe ai përdor kërcënime të bëra me porosi për të ofruar ngarkesat përfundimtare të ransomware. Duhet të theksohet se në një rast të konfirmuar, grupi u kërkoi viktimave të tij një shpërblim prej 3 milionë dollarësh, gjë që mund të shpjegonte mungesën e urgjencës për të qenë vazhdimisht aktiv.

Detajet e derës së pasme

Operacionet më të fundit të OldGremlin përfshijnë dy sulme phishing që ofrojnë një kërcënim të ri të pasme të quajtur TinyFLuff Backdoor. TinyFluff duket të jetë një variant i modifikuar dhe i përditësuar i një kërcënimi më të vjetër të Backdoor OldGremlin , i gjurmuar si TinyNode. Studiuesit në Group-IB kanë vëzhguar dy variante të ndryshme të TinyFluff. I mëparshmi është më kompleks, ndërsa varianti më i fundit është thjeshtuar dhe thjeshtuar për të lehtësuar përdorimin në fluturim. Kërcënimi i pasme ka të ngjarë të optimizohet më tej për çdo sulm të ardhshëm.

TinyFluff do të lëshojë një përkthyes Node.js dhe do t'u sigurojë hakerëve akses në pajisjet e shkelura. Megjithatë, përpara se të aktivizohet plotësisht, kërcënimi do të kontrollojë sistemin e komprometuar për shenja të virtualizimit ose një mjedis testimi. Më pas, TinyFluff do të kalojë në fazën e zbulimit të operacionit të sulmit. Komandat e marra nga backdoor mbërrijnë në formë teksti të qartë, duke i lejuar studiuesit e sigurisë kibernetike t'i shqyrtojnë ato lehtësisht.

Sipas gjetjeve të tyre, TinyFluff mund të udhëzohet të fillojë të mbledhë informacionin e sistemit, informacionin për çdo disqe të lidhur dhe prizën e instaluar në sistem. Kërcënimi gjithashtu është i aftë të lëshojë një guaskë cmd.exe për të ekzekutuar komanda. Ai gjithashtu mund të marrë informacion në lidhje me skedarët që gjenden në drejtori të veçanta në diskun e sistemit. Më në fund, TinyFluff mund të përfundojë aktivitetet e interpretuesit Node.js.