Gang OldGremlin ransomware szuka ofiary za pomocą backdoora TinyFluff

Aktorzy APT (Advanced Persistent Threat) nie zawsze wykazują niezwykłe działania. Niektórzy z nich wolą wykonać kilka wysoce ukierunkowanych ataków, które w przypadku pomyślnego wykonania mogą przynieść ogromne zyski. Jest to dokładna strategia, na której polegają hakerzy znani jako OldGremlin. Byli wcześniej zaangażowani w kilka ataków ransomware, zwykle przeprowadzanych przeciwko firmom i przedsiębiorstwom z siedzibą w Rosji. Jednak częstotliwość ich ataków jest bardzo niska – tylko pięć przeprowadzono w 2021 roku. Co więcej, grupa milczała przez prawie rok – aż do teraz.

Niedawno eksperci od złośliwego oprogramowania natknęli się na nowego trojana typu backdoor, który został nazwany Backdoorem TinyFluff. Wydaje się, że ma podobieństwa z poprzednimi backdoorami używanymi przez hakerów OldGremlin. Co więcej, ponownie wykorzystuje niektóre infrastruktury sieciowe, na których wcześniej polegali hakerzy OldGremlin.

Celem TinyFluff Backdoor są ponownie rosyjskie instytucje finansowe. Przestępcy wykorzystują bieżące wydarzenia i wysyłają e-maile phishingowe, które twierdzą, że zawierają informacje o aktualnych sankcjach finansowych wobec rosyjskich firm i obywateli. Odbiorcy są proszeni o pobranie i przejrzenie załącznika do wiadomości e-mail, który jest hostowany w publicznej usłudze hostingowej, takiej jak Dropbox. Jednak pobieranie ukrywa złośliwy kod, który ma na celu wdrożenie Backdoora TinyFluff.

Po uruchomieniu backdoor zapewnia pełny dostęp do zainfekowanego urządzenia. Zbiera dane o systemie, sprzęcie i oprogramowaniu. Przestępcy mogą wysyłać zdalne polecenia, wprowadzać dodatkowe wtyczki i nie tylko. Co zaskakujące, Backdoor TinyFluff nie był jeszcze używany w połączeniu z sygnowanymi przez OldGremlin ładunkami ransomware — jednak jest to prawdopodobnie tylko kwestia czasu.