Az OldGremlin Ransomware Gang áldozatot keres a TinyFluff Backdoor segítségével

Az Advanced Persistent Threat (APT) szereplői nem mindig mutatnak fel figyelemre méltó tevékenységet. Némelyikük szívesebben hajt végre néhány, erősen célzott támadást, amelyek sikeres végrehajtás esetén óriási hozamot hozhatnak. Pontosan ez a stratégia, amelyre az OldGremlin néven ismert hackerek támaszkodnak. Korábban több ransomware támadásban is részt vettek, jellemzően oroszországi vállalkozások és vállalkozások ellen. Támadásaik gyakorisága azonban nagyon alacsony – 2021-ben mindössze ötöt hajtottak végre. Ráadásul a csoport közel egy éve – egészen mostanáig – hallgat.

A közelmúltban a rosszindulatú programok szakértői egy új backdoor trójaira bukkantak, amelyet TinyFluff Backdoornak neveztek el. Úgy tűnik, hasonlóságokat mutat az OldGremlin hackerek által használt korábbi hátsó ajtókkal. Ezenkívül újrafelhasznál néhány hálózati infrastruktúrát, amelyekre az OldGremlin hackerek korábban támaszkodtak.

A TinyFluff Backdoor célpontjai ismét orosz pénzintézetek. A bûnözõk kihasználják az aktuális eseményeket, és adathalász e-maileket küldenek, amelyek állításuk szerint információkat tartalmaznak az orosz vállalatok és állampolgárok elleni jelenlegi pénzügyi szankciókról. A címzetteket arra kérik, hogy töltsenek le és tekintsenek át egy e-mail mellékletet, amelyet egy nyilvános tárhelyszolgáltatás, például a Dropbox tárol. A letöltés azonban egy rosszindulatú kódot rejt, amelynek célja a TinyFluff Backdoor telepítése.

Ha aktív, a hátsó ajtó teljes hozzáférést biztosít a fertőzött eszközhöz. Adatokat gyűjt a rendszerről, hardverről és szoftverről. A bűnözők távoli parancsokat küldhetnek, további beépülő modulokat vezethetnek be és így tovább. Meglepő módon a TinyFluff Backdoor-t még nem használták az OldGremlin jellegzetes zsarolóprogramjaival kombinálva – ez azonban valószínűleg csak idő kérdése.