OldGremlin Ransomware-gänget söker offer med TinyFluff-bakdörren

Advanced Persistent Threat (APT)-skådespelare uppvisar inte alltid anmärkningsvärda aktiviteter. Vissa av dem föredrar att gå efter ett fåtal, mycket riktade attacker som kan ge enorm avkastning om de genomförs framgångsrikt. Detta är den exakta strategin som hackare som kallas OldGremlin förlitar sig på. De har tidigare varit involverade i flera ransomware-attacker, vanligtvis utförda mot företag och företag baserade i Ryssland. Frekvensen av deras attacker är dock mycket låg – endast fem utfördes 2021. Dessutom har gruppen varit tyst i nästan ett år – fram till nu.

Nyligen hittade experter på skadlig programvara en ny bakdörrstrojan som har kallats TinyFluff Backdoor. Det verkar dela likheter med tidigare bakdörrar som använts av OldGremlin-hackarna. Dessutom återanvänder den också en del av nätverksinfrastrukturerna som OldGremlin-hackarna hade förlitat sig på tidigare.

Målen för TinyFluff Backdoor är återigen ryska finansinstitutioner. Brottslingarna utnyttjar de aktuella händelserna och skickar ut nätfiskemail som påstår sig innehålla information om de aktuella ekonomiska sanktionerna mot ryska företag och medborgare. Mottagarna uppmanas att ladda ner och granska en e-postbilaga, som finns på en offentlig värdtjänst som Dropbox. Men nedladdningen döljer en skadlig kod som är avsedd att distribuera TinyFluff Backdoor.

När den är aktiv ger bakdörren full åtkomst till den infekterade enheten. Den samlar in data om systemet, hårdvaran och mjukvaran. Brottslingar kan skicka ut fjärrkommandon, introducera ytterligare plugins och mer. Överraskande nog har TinyFluff Backdoor inte använts i kombination med OldGremlins signatur ransomware-nyttolaster ännu – men detta är förmodligen bara en tidsfråga.