TinyFluff Backdoor

Bilgi güvenliği araştırmacıları tarafından OldGremlin olarak izlenen siber suç örgütü yeniden harekete geçti. Bu özel tehdit aktörü, bir kez daha uyku durumuna geçmeden önce, sessiz kalmayı ve yalnızca birkaç tehdit kampanyası yürütmeyi tercih ediyor. Yine de grup son derece karmaşıktır ve saldırıları dikkatle planlanır, yürütülür ve kapatılır. OldGremlin'in ayırt edici özellikleri arasında, kurbanlarının her zaman Rus işletmeleri olması ve son fidye yazılımı yüklerini teslim etmek için özel yapım arka kapı tehditleri kullanması yer alıyor. Teyit edilmiş bir vakada grubun kurbanlarından 3 milyon dolarlık bir fidye talep ettiği ve bu da sürekli aktif olmanın aciliyet eksikliğini açıklayabileceği belirtilmelidir.

Arka Kapı Ayrıntıları

OldGremlin'in en son operasyonları, TinyFLuff Backdoor adlı yeni bir arka kapı tehdidi sunan iki kimlik avı saldırısını içeriyor. TinyFluff, TinyNode olarak izlenen eski bir OldGremlin arka kapı tehdidinin değiştirilmiş ve güncellenmiş bir çeşidi gibi görünüyor. Group-IB'deki araştırmacılar, TinyFluff'ın iki farklı çeşidini gözlemlediler. İlki daha karmaşıkken, daha yeni olan varyant, anında kullanımı kolaylaştırmak için basitleştirildi ve basitleştirildi. Arka kapı tehdidinin gelecekteki saldırılar için daha da optimize edilmesi muhtemeldir.

TinyFluff, bir Node.js yorumlayıcısı başlatacak ve bilgisayar korsanlarının ihlal edilen cihazlara erişmesini sağlayacak. Ancak, tamamen etkinleştirilmeden önce tehdit, güvenliği ihlal edilen sistemi sanallaştırma veya test ortamı belirtileri açısından kontrol edecektir. Ardından TinyFluff, saldırı operasyonunun keşif aşamasına geçecek. Arka kapı tarafından alınan komutlar, açık metin biçiminde gelir ve siber güvenlik araştırmacılarının bunları kolayca incelemesine olanak tanır.

Bulgularına göre, TinyFluff'a sistem bilgilerini, bağlı sürücüler ve sistemde kurulu olan fişler hakkında bilgi toplamaya başlaması talimatı verilebilir. Tehdit ayrıca komutları yürütmek için bir cmd.exe kabuğunu başlatabilir. Sistem sürücüsündeki belirli dizinlerde bulunan dosyalar hakkında bilgi alabilir. Son olarak TinyFluff, Node.js yorumlayıcısının faaliyetlerini sonlandırabilir.