OldGremlin

OldGremlin-Beschreibung

OldGremlin ist der Name einer neuen Hacker-Gruppe, deren Operationen von Cybersicherheitsexperten entdeckt wurden. Bisher waren die Aktivitäten von OldGremlin relativ lokalisiert und richteten sich nur an russische Organisationen. Da die Hacker von OldGremlin offenbar fließend Russisch sprechen, scheinen sie sich nicht an die Regel zu halten, der auch andere größere Hacker-Gruppen folgen - nicht gegen russische oder postsowjetische Länder zu gehen. Eine Erklärung könnte sein, dass OldGremlin sein umfangreiches Wissen über die aktuellen Angelegenheiten Russlands nutzt, um seine Spear-Phishing-Versuche besser zu positionieren und gleichzeitig ihre Angriffsmethoden und Malware-Tools zu optimieren.

OldGremlin Passt aktuelle Ereignisse schnell an Phishing-Angriffe an

In den verschiedenen aufgedeckten Bedrohungskampagnen hat die Gruppe beträchtliches Wissen gezeigt und fortschrittliche Social-Engineering-Taktiken eingesetzt, um in den Zielunternehmen Fuß zu fassen. In der ersten Kampagne, die der Gruppe zugeschrieben wurde, zielte OldGremlin auf eine große medizinische Organisation ab, indem sie eine Phishing-E-Mail sendete, in der sie sich als Medienholding RBC ausgaben. Als COVID-19 den Nachrichtenzyklus ausfüllte, wechselten die Hacker ihre Taktik und begannen, E-Mails zu senden, die angeblich von der Organisation Mikrofinansirovaniye i Razvitiye (SRO MiR) stammten und falsche Anweisungen zur Schaffung eines sicheren Arbeitsumfelds inmitten der Pandemie enthielten. Die gleiche Phishing-Methode wurde erneut angewendet, aber diesmal verkörperten die Kriminellen die Zahnklinik Novadent.

Als die Proteste in Belarus begannen, nutzte OldGremlin die neue Situation schnell aus. Die Hacker erstellten schnell eine neue Reihe von Phishing-E-Mails, die diesmal vom CEO der Minsk Tractor Works (MTZ) gesendet wurden. Der Name für die E-Mails war entweder "Alesya Vladimirovna" oder "AV Volokhina", die gefälschte Persönlichkeiten sind, während der eigentliche CEO des Unternehmens Vitaly Vovk heißt. In den E-Mails, die OldGremlin an verschiedene russische Finanzorganisationen verbreitete, behaupteten die Hacker, die sich als MTZ ausgaben, sie seien wegen angeblicher Teilnahme an dem Protest von einem Staatsanwalt inspiziert worden. Sie baten die Zielunternehmen, zusätzliche Dokumente bereitzustellen. Dabei wurden die internen Netzwerke der Unternehmen kompromittiert.

OldGremilin setzt neben Software von Drittanbietern eine Mischung aus selbst entwickelten Malware-Tools ein

Nach einem erfolgreichen Phishing-Angriff etabliert OldGremlin im Netzwerk des Unternehmens, indem es eine von zwei benutzerdefinierten Backdoor-Malware namens TinyNode und TinyPosh installiert. TinyPosh ist beispielsweise in der Lage, eine Persistenz innerhalb des Systems zu erreichen, die Berechtigungen des Kontos zu erweitern, von dem aus es ausgeführt wurde, und die Cobalt Strike Beacon-Nutzlast zu starten. Um die tatsächliche C & C-Adresse zu verbergen, verwendeten die Hacker den Cloudflare Workers-Server. Laut den Experten von Group-IB setzte OldGremlin den Cloudflare Workers-Server ein, um die für die Kampagnen verwendeten Command-and-Control-Server auszublenden. TinyNode wird hauptsächlich zum Herunterladen und Ausführen zusätzlicher Malware-Module verwendet.

Sobald sie sich im Haus befinden, bewegen sich die Hacker seitlich durch das gefährdete Netzwerk, um nach bestimmten Zielen zu suchen. Um sicherzustellen, dass ihre Aktionen nur einen begrenzten Eindruck hinterlassen, verwenden sie das Cobalt Strike-Framework. In der Angriffskampagne gegen die medizinische Organisation lauerte OldGremlin wochenlang im Netzwerk, bis er die Anmeldeinformationen des Domänenadministrators erhielt. Danach löschten die Hacker alle Backups des Systems und stellten eine benutzerdefinierte Ransomware-Bedrohung namens TinyCryptor (auch bekannt als TinyCrypt / TInyCryptor / Decr1pt Ransomware) bereit. Für diese spezielle Kampagne forderten die Kriminellen die Zahlung von Kryptowährung in Höhe von 50.000 US-Dollar und verwendeten eine ProtonMail-Adresse für den Kontakt.