TinyFluff Backdoor

被信息安全研究人员追踪为 OldGremlin 的网络犯罪组织又开始行动了。这个特殊的威胁行为者更喜欢在再次进入休眠状态之前保持低调并只执行几次威胁活动。尽管如此，该组织仍然非常老练，其攻击经过精心策划、执行和关闭。 OldGremlin 的显着特征之一是其受害者始终是俄罗斯企业，并且它使用定制的后门威胁来传递其最终的勒索软件有效载荷。应该指出的是，在一个确诊病例中，该组织向受害者索要 300 万美元的赎金，这可以解释缺乏持续活跃的紧迫性。

后门详情

OldGremlin 的最新操作包括两次网络钓鱼攻击，它们提供了一种名为 TinyFLuff Backdoor 的新后门威胁。 TinyFluff 似乎是跟踪为 TinyNode 的旧OldGremlin后门威胁的修改和更新变体。 Group-IB 的研究人员观察到了 TinyFluff 的两种不同变体。较早的版本更复杂，而较新的变体经过精简和简化，以方便即时使用。后门威胁可能会针对任何未来的攻击进行进一步优化。

TinyFluff 将启动一个 Node.js 解释器，并为黑客提供对被破坏设备的访问权限。但是，在完全激活之前，威胁会检查受感染的系统是否存在虚拟化迹象或测试环境。之后，TinyFluff 将进入攻击行动的侦察阶段。后门收到的命令以明文形式到达，使网络安全研究人员可以轻松检查它们。

根据他们的发现，可以指示 TinyFluff 开始收集系统信息、有关任何连接的驱动器和系统上安装的插件的信息。该威胁还能够启动 cmd.exe shell 来执行命令。它可以获取有关系统驱动器上特定目录中包含的文件的信息。最后，TinyFluff 可以终止 Node.js 解释器的活动。