TinyFluff Backdoor

被信息安全研究人員追踪為 OldGremlin 的網絡犯罪組織又開始行動了。這個特殊的威脅行為者更喜歡在再次進入休眠狀態之前保持低調並只執行幾次威脅活動。儘管如此，該組織仍然非常老練，其攻擊經過精心策劃、執行和關閉。 OldGremlin 的顯著特徵之一是其受害者始終是俄羅斯企業，並且它使用定制的後門威脅來傳遞其最終的勒索軟件有效載荷。應該指出的是，在一個確診病例中，該組織向受害者索要 300 萬美元的贖金，這可以解釋缺乏持續活躍的緊迫性。

後門詳情

OldGremlin 的最新操作包括兩次網絡釣魚攻擊，它們提供了一種名為 TinyFLuff Backdoor 的新後門威脅。 TinyFluff 似乎是跟踪為 TinyNode 的舊OldGremlin後門威脅的修改和更新變體。 Group-IB 的研究人員觀察到了 TinyFluff 的兩種不同變體。較早的版本更複雜，而較新的變體經過精簡和簡化，以方便即時使用。後門威脅可能會針對未來的任何攻擊進行進一步優化。

TinyFluff 將啟動一個 Node.js 解釋器，並為黑客提供對被破壞設備的訪問權限。但是，在完全激活之前，威脅會檢查受感染的系統是否存在虛擬化跡像或測試環境。之後，TinyFluff 將進入攻擊行動的偵察階段。後門收到的命令以明文形式到達，使網絡安全研究人員可以輕鬆檢查它們。

根據他們的發現，可以指示 TinyFluff 開始收集系統信息、有關任何連接的驅動器和系統上安裝的插件的信息。該威脅還能夠啟動 cmd.exe shell 來執行命令。它可以獲取有關係統驅動器上特定目錄中包含的文件的信息。最後，TinyFluff 可以終止 Node.js 解釋器的活動。