TinyFluff Backdoor

Den cyberkriminella organisation som spåras av infosec-forskare som OldGremlin är tillbaka i farten. Just den här hotaktören föredrar att lägga sig lågt och endast köra ett par hotfulla kampanjer innan han återigen går i dvala. Ändå är gruppen extremt sofistikerad och dess attacker är noggrant planerade, utförda och stängda. Bland de utmärkande egenskaperna hos OldGremlin är det faktum att dess offer alltid är ryska företag och det använder skräddarsydda bakdörrshot för att leverera sina slutgiltiga ransomware-nyttolaster. Det bör noteras att i ett bekräftat fall bad gruppen sina offer om en lösensumma på 3 miljoner dollar, vilket kan förklara bristen på brådska att vara ständigt aktiv.

Bakdörrsdetaljer

De senaste operationerna av OldGremlin inkluderar två nätfiskeattacker som levererar ett nytt bakdörrshot som heter TinyFLuff Backdoor. TinyFluff verkar vara en modifierad och uppdaterad variant av ett äldre OldGremlin bakdörrshot spårat som TinyNode. Forskarna vid Group-IB har observerat två olika varianter av TinyFluff. Den tidigare är mer komplex medan den nyare varianten har effektiviserats och förenklats för att underlätta användning i farten. Bakdörrshotet kommer sannolikt att optimeras ytterligare för framtida attacker.

TinyFluff kommer att lansera en Node.js-tolk och ge hackarna tillgång till enheterna som har brutits. Innan hotet aktiveras helt kommer det dock att kontrollera det komprometterade systemet för tecken på virtualisering eller en testmiljö. Efteråt kommer TinyFluff att gå vidare till spaningsstadiet av attackoperationen. Kommandon som tas emot av bakdörren anländer i klartext, vilket gör att cybersäkerhetsforskare enkelt kan undersöka dem.

Enligt deras resultat kan TinyFluff instrueras att börja samla in systeminformation, information om eventuella anslutna enheter och pluggningen installerad på systemet. Hotet kan också starta ett cmd.exe-skal för att utföra kommandon. Det kan erhålla information om filer som finns i specifika kataloger på systemets enhet. Slutligen kan TinyFluff avsluta Node.js-tolkens aktiviteter.

Trendigt

Mest sedda

Läser in...