OldGremlin Ransomware-gjengen søker offer med TinyFluff-bakdøren

Advanced Persistent Threat (APT)-skuespillere viser ikke alltid bemerkelsesverdige aktiviteter. Noen av dem foretrekker å gå etter noen få, svært målrettede angrep som kan gi enorm avkastning hvis de utføres vellykket. Dette er den nøyaktige strategien som hackerne kjent som OldGremlin stoler på. De har tidligere vært involvert i flere løsepenge-angrep, vanligvis utført mot virksomheter og virksomheter basert i Russland. Hyppigheten av angrepene deres er imidlertid svært lav – bare fem ble utført i 2021. Videre har gruppen vært stille i nesten et år – frem til nå.

Nylig kom skadevareeksperter over en ny bakdør-trojaner som har blitt kalt TinyFluff Backdoor. Det ser ut til å dele likheter med tidligere bakdører brukt av OldGremlin-hackere. Videre gjenbruker den også noen av nettverksinfrastrukturene som OldGremlin-hackere hadde stolt på tidligere.

Målene til TinyFluff Backdoor er nok en gang russiske finansinstitusjoner. De kriminelle utnytter de aktuelle hendelsene, og sender ut phishing-e-poster som hevder å inneholde informasjon om gjeldende økonomiske sanksjoner mot russiske selskaper og borgere. Mottakere oppfordres til å laste ned og gjennomgå et e-postvedlegg, som ligger på en offentlig vertstjeneste som Dropbox. Nedlastingen skjuler imidlertid en ondsinnet kode som er ment å distribuere TinyFluff Backdoor.

Når den er aktiv, gir bakdøren full tilgang til den infiserte enheten. Den samler inn data om systemet, maskinvaren og programvaren. Kriminelle kan sende ut eksterne kommandoer, introdusere flere plugins og mer. Overraskende nok har ikke TinyFluff Backdoor blitt brukt i kombinasjon med OldGremlins signatur-ransomware-nyttelaster ennå – men dette er sannsynligvis bare et spørsmål om tid.