OldGremlinランサムウェアギャングがTinyFluffバックドアで被害者を探す
Advanced Persistent Threat(APT)アクターは、必ずしも注目に値するアクティビティを示すとは限りません。それらのいくつかは、成功した場合に莫大な利益をもたらす可能性のある、いくつかの高度に標的化された攻撃の後に行くことを好みます。これは、OldGremlinとして知られるハッカーが依存している正確な戦略です。彼らは以前、いくつかのランサムウェア攻撃に関与しており、通常はロシアに拠点を置く企業や企業に対して実行されています。しかし、彼らの攻撃の頻度は非常に低く、2021年に実行されたのは5つだけでした。さらに、グループは1年近く沈黙していました–これまで。
最近、マルウェアの専門家は、TinyFluffBackdoorと呼ばれる新しいバックドア型トロイの木馬に遭遇しました。 OldGremlinハッカーが使用していた以前のバックドアと類似点があるようです。さらに、OldGremlinハッカーが以前に依存していたネットワークインフラストラクチャの一部も再利用します。
TinyFluff Backdoorのターゲットは、再びロシアの金融機関です。犯罪者は現在の出来事を利用しており、ロシアの企業や市民に対する現在の経済制裁に関する情報が含まれていると主張するフィッシングメールを送信しています。受信者は、Dropboxなどのパブリックホスティングサービスでホストされている電子メールの添付ファイルをダウンロードして確認することをお勧めします。ただし、ダウンロードにより、TinyFluffバックドアを配備することを目的とした悪意のあるコードが隠されます。
アクティブになると、バックドアは感染したデバイスへのフルアクセスを提供します。システム、ハードウェア、およびソフトウェアに関するデータを収集します。犯罪者は、リモートコマンドを送信したり、追加のプラグインを導入したりすることができます。驚いたことに、TinyFluff Backdoorは、OldGremlinのシグネチャーランサムウェアペイロードと組み合わせて使用されていませんが、これはおそらく時間の問題です。