ΑρχικήsecurityΗ ομάδα OldGremlin αναπτύσσει νέο malware σε ρωσικό mining org

Η ομάδα OldGremlin αναπτύσσει νέο malware σε ρωσικό mining org

Η ομάδα OldGremlin, ένας ελάχιστα γνωστός απειλητικός παράγοντας που χρησιμοποιεί τις ιδιαίτερα προηγμένες δεξιότητές του για να διεξάγει προσεκτικά προετοιμασμένες, σποραδικές καμπάνιες, επέστρεψε τον περασμένο μήνα μετά από ένα διάλλειμα ενός έτους.

Η ομάδα φαίνεται ότι από τις αρχές του 2021 έχει πραγματοποιήσει λιγότερες από πέντε κακόβουλες καμπάνιες που είχαν ως στόχο επιχειρήσεις στη Ρωσία.

Παρά το γεγονός ότι η ομάδα είναι λιγότερο ενεργή, η OldGremlin ζήτησε λύτρα έως και 3 εκατομμύρια δολάρια από ένα από τα θύματά της.

Προσεκτικά προετοιμασμένο phishing

Η πιο πρόσφατη δραστηριότητα της OldGremlin αποτελείται από δύο εκστρατείες phishing που ξεκίνησαν προς τα τέλη Μαρτίου 2022. Είναι πολύ νωρίς για να εκτιμηθεί πόσες εταιρείες στοχοποιήθηκαν, αλλά οι ερευνητές ασφαλείας λένε ότι τουλάχιστον μία ρωσική εταιρεία στον τομέα mining βρίσκεται στη λίστα θυμάτων.

Η ομάδα δεν απομακρύνθηκε από την τακτική που είχε παρατηρηθεί στο παρελθόν για να αποκτήσει αρχική πρόσβαση και εκμεταλλεύτηκε τα μοντέρνα θέματα ειδήσεων.

Ερευνητές ασφαλείας στην εταιρεία κυβερνοασφάλειας Group-IB με έδρα τη Σιγκαπούρη λένε ότι αυτή τη φορά η ομάδα OldGremlin υποδύθηκε έναν ανώτερο λογιστή σε ρωσικό χρηματοπιστωτικό οργανισμό, προειδοποιώντας ότι οι πρόσφατες κυρώσεις που επιβλήθηκαν στη Ρωσία θα ανέστειλαν τις λειτουργίες των συστημάτων επεξεργασίας πληρωμών Visa και Mastercard.

OldGremlin

Νέο προσαρμοσμένο backdoor

Το email κατευθύνει τον παραλήπτη σε ένα κακόβουλο έγγραφο που είναι αποθηκευμένο σε ένα χώρο αποθήκευσης Dropbox που κατεβάζει ένα backdoor που ονομάζεται TinyFluff, το οποίο εκκινεί το interpreter Node.js και δίνει στον εισβολέα απομακρυσμένη πρόσβαση στο στοχευμένο σύστημα.

Το TinyFluff είναι μια νέα παραλλαγή ενός παλιότερου backdoor, του TinyNode, που χρησιμοποιούσε η συμμορία σε προηγούμενες επιθέσεις. Η παρακάτω εικόνα δείχνει τις αλυσίδες μόλυνσης από τις δύο εκστρατείες OldGremlin φέτος στις 22 και 25 Μαρτίου:

OldGremlin

Οι ερευνητές του Group-IB ανακάλυψαν δύο παραλλαγές του TinyFluff, μια παλαιότερη που είναι πιο περίπλοκη και μια νεότερη, απλοποιημένη έκδοση που αντιγράφει το script και το interpreter Node.js από τη θέση αποθήκευσης του στο 192.248.176[.]138.

Και οι δύο παραλλαγές του backdoor εντοπίζονται αυτήν τη στιγμή από περισσότερες από 20 μηχανές antivirus στην πλατφόρμα σάρωσης Virus Total.

Σε μια αναφορά που κοινοποιήθηκε στο BleepingComputer, το Group-IB παρέχει δείκτες συμβιβασμού και μια λεπτομερή τεχνική ανάλυση των εργαλείων που χρησιμοποίησε η OldGremlin στις δύο καμπάνιες phishing που αναπτύχθηκαν τον περασμένο μήνα.

Μετά το φύτεμα του backdoor, το OldGremlin προχωρά στο στάδιο αναγνώρισης, ελέγχοντας εάν η εφαρμογή εκτελείται σε δοκιμαστικό περιβάλλον.

Οι εντολές για αυτό το στάδιο της επίθεσης παραδίδονται σε καθαρό κείμενο, επιτρέποντας στους ερευνητές να τις εξετάσουν χρησιμοποιώντας έναν traffic sniffer

  • συλλογή πληροφοριών σχετικά με το μολυσμένο σύστημα/συσκευή
  • λήψη πληροφοριών σχετικά με τους συνδεδεμένους drives
  • εκκίνηση του shell cmd.exe, εκτέλεση εντολής και αποστολή του output στον command and control server (C2)
  • λήψη πληροφοριών σχετικά με τα plugins που είναι εγκατεστημένα στο σύστημα
  • λήψη πληροφοριών σχετικά με αρχεία στα συγκεκριμένα directories στο system drive

Η OldGremlin μπορεί να περάσει μήνες μέσα στο παραβιασμένο δίκτυο προτού αναπτύξει το τελικό στάδιο της επίθεσης: την παράδοση του TinyCrypt/TinyCryptor, το προσαρμοσμένο ransomware payload της ομάδας.

Ακριβώς όπως με τις επιθέσεις ransomware από άλλες συμμορίες, το θύμα λαμβάνει ένα σημείωμα λύτρων που παρέχει μια επαφή για να φτάσει στον απειλητικό παράγοντα για διαπραγματεύσεις πληρωμής.

OldGremlin

Η Group-IB είπε στο BleepingComputer ότι η OldGremlin κρυπτογραφούσε τουλάχιστον τρεις εταιρείες από τότε που οι ερευνητές άρχισαν να παρακολουθούν τη συμμορία το 2020.

Αν και αυτός ο αριθμός είναι ασήμαντος σε σύγκριση με επιθέσεις από άλλες συμμορίες ransomware, οι ερευνητές σημειώνουν ότι η OldGremlin αποκομίζει αρκετά χρήματα αν και πραγματοποιεί λίγες καμπάνιες.

Το 2021, η συμμορία ανέπτυξε μόνο μία καμπάνια phishing, αλλά ήταν αρκετή για να την κρατήσει απασχολημένη καθ’ όλη τη διάρκεια του έτους, καθώς παρείχε αρχική πρόσβαση στο δίκτυο πολλών επιχειρήσεων.

Η Group-IB λέει ότι είναι θέμα χρόνου να αποκαλυφθεί μεγαλύτερος αριθμός θυμάτων της OldGremlin, εκτός από τη στοχευμένη ρωσική εταιρεία mining, ως αποτέλεσμα της δραστηριότητας phishing της ομάδας, τον Μάρτιο.

Με βάση τα στοιχεία που βρήκαν και αφού ανέλυσαν την ποιότητα των μηνυμάτων phishing και των παραπλανητικών εγγράφων, οι ερευνητές εκτιμούν ότι η ομάδα OldGremlin έχει ρωσόφωνα μέλη.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS