TinyFluff Backdoor

OldGremlinが動き始めたときにinfosecの研究者によって追跡されたサイバー犯罪組織。この特定の脅威アクターは、再び休眠状態になる前に、身を低くして、2、3の脅威キャンペーンのみを実行することを好みます。それでも、グループは非常に洗練されており、その攻撃は慎重に計画され、実行され、閉じられます。 OldGremlinの際立った特徴の中には、被害者が常にロシアの企業であり、カスタムメイドのバックドアの脅威を使用して最終的なランサムウェアのペイロードを配信しているという事実があります。確認された1つのケースでは、グループは犠牲者に300万ドルの身代金を要求しました。これは、絶えず活動する緊急性の欠如を説明する可能性があります。

バックドアの詳細

OldGremlinの最新の操作には、TinyFLuffBackdoorという名前の新しいバックドアの脅威をもたらす2つのフィッシング攻撃が含まれています。 TinyFluffは、TinyNodeとして追跡されている古いOldGremlinバックドア脅威の修正および更新された亜種のようです。 Group-IBの研究者は、TinyFluffの2つの異なるバリアントを観察しました。以前のものはより複雑ですが、最近のものはその場での使用を容易にするために合理化および簡素化されています。バックドアの脅威は、将来の攻撃に備えてさらに最適化される可能性があります。

TinyFluffはNode.jsインタープリターを起動し、ハッカーに侵害されたデバイスへのアクセスを提供します。ただし、脅威が完全にアクティブ化される前に、脅威は、仮想化またはテスト環境の兆候がないか、侵害されたシステムをチェックします。その後、TinyFluffは攻撃操作の偵察段階に進みます。バックドアが受信したコマンドはクリアテキスト形式で届くため、サイバーセキュリティ研究者はそれらを簡単に調べることができます。

彼らの調査結果によると、TinyFluffは、システム情報、接続されているドライブに関する情報、およびシステムにインストールされているプラグの収集を開始するように指示できます。この脅威は、コマンドを実行するためにcmd.exeシェルを起動することもできます。また、システムのドライブ上の特定のディレクトリに含まれるファイルに関する情報を取得することもできます。最後に、TinyFluffはNode.jsインタープリターのアクティビティを終了できます。