Die OldGremlin Ransomware Gang sucht Opfer mit der TinyFluff Backdoor

Advanced Persistent Threat (APT)-Akteure zeigen nicht immer bemerkenswerte Aktivitäten. Einige von ihnen ziehen es vor, einige wenige, sehr gezielte Angriffe zu verfolgen, die bei erfolgreicher Ausführung immense Erträge bringen könnten. Das ist genau die Strategie, auf die sich die als OldGremlin bekannten Hacker verlassen. Sie waren zuvor an mehreren Ransomware-Angriffen beteiligt, die in der Regel gegen Unternehmen und Unternehmen mit Sitz in Russland durchgeführt wurden. Die Häufigkeit ihrer Angriffe ist jedoch sehr gering – im Jahr 2021 wurden nur fünf durchgeführt. Außerdem schweigt die Gruppe seit fast einem Jahr – bis jetzt.

Kürzlich stießen Malware-Experten auf einen neuen Backdoor-Trojaner mit dem Namen TinyFluff Backdoor. Es scheint Ähnlichkeiten mit früheren Backdoors zu haben, die von den OldGremlin-Hackern verwendet wurden. Darüber hinaus werden einige der Netzwerkinfrastrukturen wiederverwendet, auf die sich die OldGremlin-Hacker zuvor verlassen hatten.

Das Ziel von TinyFluff Backdoor sind erneut russische Finanzinstitute. Die Kriminellen nutzen die aktuellen Ereignisse aus und versenden Phishing-E-Mails, die vorgeben, Informationen über die aktuellen Finanzsanktionen gegen russische Unternehmen und Bürger zu enthalten. Die Empfänger werden dringend gebeten, einen E-Mail-Anhang herunterzuladen und zu überprüfen, der auf einem öffentlichen Hosting-Dienst wie Dropbox gehostet wird. Allerdings verbirgt sich hinter dem Download ein Schadcode, der die TinyFluff Backdoor einsetzen soll.

Sobald die Hintertür aktiv ist, gewährt sie vollen Zugriff auf das infizierte Gerät. Es sammelt Daten über das System, die Hardware und die Software. Kriminelle können Fernbefehle senden, zusätzliche Plugins einführen und vieles mehr. Überraschenderweise wurde die TinyFluff Backdoor noch nicht in Kombination mit OldGremlins charakteristischen Ransomware-Payloads verwendet – dies ist jedoch wahrscheinlich nur eine Frage der Zeit.