OldGremlin Ransomware-banden søger offer med TinyFluff-bagdøren

Advanced Persistent Threat (APT) skuespillere viser ikke altid bemærkelsesværdige aktiviteter. Nogle af dem foretrækker at gå efter et par, meget målrettede angreb, der kan give enorme afkast, hvis de udføres med succes. Dette er den nøjagtige strategi, som hackerne kendt som OldGremlin stoler på. De har tidligere været involveret i adskillige ransomware-angreb, typisk udført mod virksomheder og virksomheder baseret i Rusland. Hyppigheden af deres angreb er dog meget lav – kun fem blev udført i 2021. Desuden har gruppen været tavs i næsten et år – indtil nu.

For nylig stødte malware-eksperter på en ny bagdør-trojaner, der er blevet døbt TinyFluff Backdoor. Det ser ud til at dele ligheder med tidligere bagdøre brugt af OldGremlin-hackere. Ydermere genbruger den også nogle af de netværksinfrastrukturer, som OldGremlin-hackerne tidligere havde påberåbt sig.

Målene for TinyFluff Backdoor er igen russiske finansielle institutioner. De kriminelle udnytter de aktuelle begivenheder og udsender phishing-e-mails, der hævder at indeholde oplysninger om de aktuelle økonomiske sanktioner mod russiske virksomheder og borgere. Modtagere opfordres til at downloade og gennemgå en e-mail-vedhæftet fil, som hostes på en offentlig hostingtjeneste som Dropbox. Downloadet skjuler dog en ondsindet kode, der er beregnet til at implementere TinyFluff Backdoor.

Når den er aktiv, giver bagdøren fuld adgang til den inficerede enhed. Den indsamler data om systemet, hardware og software. Kriminelle kan sende fjernkommandoer, introducere yderligere plugins og mere. Overraskende nok er TinyFluff Backdoor endnu ikke blevet brugt i kombination med OldGremlins signatur ransomware-nyttelast – men dette er sandsynligvis kun et spørgsmål om tid.