TinyFluff Backdoor
Організація кіберзлочинців, яку дослідники Infosec відстежують як OldGremlin, знову на ходу. Цей особливий загрозливий актор вважає за краще притихнути й здійснити лише пару загрозливих кампаній, перш ніж знову перейти в стан спокою. Тим не менш, група надзвичайно витончена, і її атаки ретельно сплановані, виконані та закриті. Серед відмінних характеристик OldGremlin є той факт, що його жертвами завжди є російські компанії, і він використовує індивідуальні загрози бекдору для доставки своїх остаточних корисних даних програм-вимагачів. Зазначимо, що в одному підтвердженому випадку угруповання попросило у своїх жертв викуп у розмірі 3 мільйонів доларів, що може пояснити відсутність терміновості постійно діяти.
Деталі бекдора
Останні операції OldGremlin включають дві фішингові атаки, які створюють нову бэкдор-загрозу під назвою TinyFLuff Backdoor. TinyFluff, схоже, є модифікованим та оновленим варіантом старої загрози бекдору OldGremlin , яка відстежується як TinyNode. Дослідники з Group-IB спостерігали два різних варіанти TinyFluff. Попередній варіант є складнішим, тоді як останній варіант був упорядкований і спрощений, щоб полегшити використання на льоту. Загроза бекдору, ймовірно, буде додатково оптимізована для будь-яких майбутніх атак.
TinyFluff запустить інтерпретатор Node.js і надасть хакерам доступ до зламаних пристроїв. Однак перед повною активацією загроза перевірить зламану систему на наявність ознак віртуалізації або тестового середовища. Після цього TinyFluff перейде до етапу розвідки операції атаки. Команди, отримані бекдором, надходять у вигляді ясного тексту, що дозволяє дослідникам кібербезпеки легко їх досліджувати.
Згідно з їхніми висновками, TinyFluff можна доручити почати збирати системну інформацію, інформацію про будь-які підключені диски та підключення, встановлені в системі. Загроза також може запускати оболонку cmd.exe для виконання команд. Він також може отримати інформацію про файли, що містяться в певних каталогах на системному диску. Нарешті, TinyFluff може припинити діяльність інтерпретатора Node.js.
