TinyFluff Backdoor

Die von Infosec-Forschern als OldGremlin verfolgte cyberkriminelle Organisation ist wieder in Bewegung. Dieser besondere Bedrohungsakteur zieht es vor, sich zu verstecken und nur ein paar Drohkampagnen durchzuführen, bevor er wieder in den Ruhezustand übergeht. Dennoch ist die Gruppe äußerst raffiniert und ihre Angriffe werden sorgfältig geplant, ausgeführt und beendet. Zu den charakteristischen Merkmalen von OldGremlin gehört die Tatsache, dass seine Opfer immer russische Unternehmen sind und dass es maßgeschneiderte Backdoor-Bedrohungen verwendet, um seine endgültigen Ransomware-Nutzlasten zu liefern. Es sei darauf hingewiesen, dass die Gruppe in einem bestätigten Fall von ihren Opfern ein Lösegeld in Höhe von 3 Millionen US-Dollar verlangte, was die fehlende Dringlichkeit erklären könnte, ständig aktiv zu sein.

Backdoor-Details

Zu den neuesten Operationen von OldGremlin gehören zwei Phishing-Angriffe, die eine neue Backdoor-Bedrohung namens TinyFLuff Backdoor liefern. TinyFluff scheint eine modifizierte und aktualisierte Variante einer älteren OldGremlin- Backdoor-Bedrohung zu sein, die als TinyNode verfolgt wird. Die Forscher der Group-IB haben zwei verschiedene Varianten von TinyFluff beobachtet. Die frühere Variante ist komplexer, während die neuere Variante gestrafft und vereinfacht wurde, um die Verwendung im laufenden Betrieb zu erleichtern. Die Backdoor-Bedrohung wird wahrscheinlich für zukünftige Angriffe weiter optimiert.

TinyFluff startet einen Node.js-Interpreter und verschafft den Hackern Zugriff auf die verletzten Geräte. Bevor die Bedrohung jedoch vollständig aktiviert wird, überprüft sie das kompromittierte System auf Anzeichen einer Virtualisierung oder einer Testumgebung. Danach wird TinyFluff zur Aufklärungsphase der Angriffsoperation übergehen. Die von der Hintertür empfangenen Befehle kommen in Klartextform an, sodass die Cybersicherheitsforscher sie leicht untersuchen können.

Ihren Erkenntnissen zufolge kann TinyFluff angewiesen werden, mit dem Sammeln von Systeminformationen, Informationen über alle angeschlossenen Laufwerke und das auf dem System installierte Plugging zu beginnen. Die Bedrohung ist auch in der Lage, eine cmd.exe-Shell zu starten, um Befehle auszuführen. Es kann auch Informationen über Dateien erhalten, die in bestimmten Verzeichnissen auf dem Systemlaufwerk enthalten sind. Schließlich kann TinyFluff die Aktivitäten des Node.js-Interpreters beenden.