The OldGremlin Ransomware Gang zoekt slachtoffer met de TinyFluff Backdoor

Advanced Persistent Threat (APT)-actoren vertonen niet altijd opmerkelijke activiteiten. Sommigen van hen gaan liever achter een paar zeer gerichte aanvallen aan die een enorm rendement kunnen opleveren als ze met succes worden uitgevoerd. Dit is de exacte strategie waarop de hackers die bekend staan als OldGremlin vertrouwen. Ze zijn eerder betrokken geweest bij verschillende ransomware-aanvallen, meestal uitgevoerd tegen bedrijven en ondernemingen in Rusland. De frequentie van hun aanvallen is echter erg laag - er werden er slechts vijf uitgevoerd in 2021. Bovendien zweeg de groep bijna een jaar - tot nu toe.

Onlangs kwamen malware-experts een nieuwe backdoor-trojan tegen die de TinyFluff Backdoor wordt genoemd. Het lijkt overeenkomsten te hebben met eerdere achterdeuren die door de OldGremlin-hackers werden gebruikt. Bovendien hergebruikt het ook een deel van de netwerkinfrastructuren waar de OldGremlin-hackers eerder op vertrouwden.

Het doelwit van de TinyFluff Backdoor zijn opnieuw Russische financiële instellingen. De criminelen profiteren van de actualiteit en sturen phishing-e-mails die beweren informatie te bevatten over de huidige financiële sancties tegen Russische bedrijven en burgers. Ontvangers wordt dringend verzocht een e-mailbijlage te downloaden en te bekijken, die wordt gehost op een openbare hostingservice zoals Dropbox. De download verbergt echter een kwaadaardige code die bedoeld is om de TinyFluff Backdoor te implementeren.

Eenmaal actief, geeft de achterdeur volledige toegang tot het geïnfecteerde apparaat. Het verzamelt gegevens over het systeem, hardware en software. Criminelen kunnen opdrachten op afstand sturen, extra plug-ins introduceren en meer. Verrassend genoeg is de TinyFluff Backdoor nog niet gebruikt in combinatie met OldGremlin's kenmerkende ransomware-payloads - dit is echter waarschijnlijk slechts een kwestie van tijd.