Банда вымогателей OldGremlin ищет жертву с помощью бэкдора TinyFluff

Субъекты Advanced Persistent Threat (APT) не всегда проявляют замечательную активность. Некоторые из них предпочитают проводить несколько целенаправленных атак, которые при успешном выполнении могут принести огромную прибыль. Именно на эту стратегию полагаются хакеры, известные как OldGremlin. Ранее они были причастны к нескольким атакам программ-вымогателей, обычно направленных против компаний и предприятий, базирующихся в России. Однако частота их атак очень низкая — в 2021 году было совершено всего пять. Кроме того, группа хранила молчание почти год — до сих пор.

Недавно эксперты по вредоносным программам обнаружили новый троянец-бэкдор, получивший название TinyFluff Backdoor. Похоже, что он имеет сходство с предыдущими бэкдорами, которые использовали хакеры OldGremlin. Кроме того, он также повторно использует некоторые из сетевых инфраструктур, на которые ранее полагались хакеры OldGremlin.

Целями бэкдора TinyFluff снова стали российские финансовые учреждения. Злоумышленники пользуются текущими событиями и рассылают фишинговые письма, якобы содержащие информацию о текущих финансовых санкциях против российских компаний и граждан. Получателям настоятельно рекомендуется загрузить и просмотреть вложение электронной почты, которое размещено на общедоступной службе хостинга, такой как Dropbox. Однако загрузка скрывает вредоносный код, предназначенный для развертывания бэкдора TinyFluff.

После активации бэкдор предоставляет полный доступ к зараженному устройству. Он собирает данные о системе, оборудовании и программном обеспечении. Злоумышленники могут отправлять удаленные команды, внедрять дополнительные плагины и многое другое. Удивительно, но бэкдор TinyFluff еще не использовался в сочетании с полезными нагрузками сигнатурных программ-вымогателей OldGremlin — однако, вероятно, это всего лишь вопрос времени.