OldGremlin 勒索軟件團伙利用 TinyFluff 後門尋找受害者
高級持續性威脅 (APT) 參與者並不總是表現出非凡的活動。他們中的一些人更喜歡進行一些針對性很強的攻擊,如果成功執行,這些攻擊可能會產生巨大的回報。這是被稱為 OldGremlin 的黑客所依賴的確切策略。他們之前曾參與過幾次勒索軟件攻擊,通常針對俄羅斯的企業和企業。然而,他們的攻擊頻率非常低——2021 年只進行了五次。此外,該組織已經沉寂了近一年——直到現在。
最近,惡意軟件專家發現了一種新的後門木馬,被稱為 TinyFluff Backdoor。它似乎與 OldGremlin 黑客以前使用的後門有相似之處。此外,它還重用了 OldGremlin 黑客之前依賴的一些網絡基礎設施。
TinyFluff 後門的目標再次是俄羅斯金融機構。犯罪分子正在利用當前事件,並發送聲稱包含有關當前對俄羅斯公司和公民的金融制裁信息的網絡釣魚電子郵件。敦促收件人下載和查看電子郵件附件,該附件託管在 Dropbox 等公共託管服務上。然而,下載隱藏了一個用於部署 TinyFluff 後門的惡意代碼。
一旦激活,後門就可以完全訪問受感染的設備。它收集有關係統、硬件和軟件的數據。犯罪分子可以發送遠程命令,引入額外的插件等等。令人驚訝的是,TinyFluff 後門尚未與 OldGremlin 的簽名勒索軟件有效載荷結合使用——然而,這可能只是時間問題。
April 18, 2022
