OldGremlin 是一個鮮爲人知的黑客組織,該組織技術先進、攻擊思路巧妙、行動次數少,在時隔一年多後于上個月卷土重來。
該組織通過少量活動(自 2021 年初以來不到五個)與其他勒索軟件組織分開來,這些活動僅針對俄羅斯的企業和使用內部構建的自定義後門。
盡管不太活躍,這可能表明勒索軟件業務更接近兼職,但 OldGremlin 已要求其一名受害者支付高達 300 萬美元的贖金。
精心准備的網絡釣魚
最近的 OldGremlin 活動包括 2022 年 3 月末發起的兩次網絡釣魚活動。現在評估有多少公司成爲目標還爲時過早,但安全研究人員表示,至少有一家俄羅斯礦業公司在受害者名單上。
對手並沒有放棄之前觀察到的策略來獲得初始訪問權限,而是利用了熱門新聞話題。
新加坡網絡安全公司 Group-IB 的安全研究人員表示,這一次 OldGremlin 冒充俄羅斯一家金融機構的高級會計師,警告說最近對俄羅斯實施的制裁將暫停 Visa 和萬事達卡支付處理系統的運營。
新的自定義後門
該電子郵件將收件人指向存儲在 Dropbox 存儲中的惡意文檔,該文檔下載了一個名爲 TinyFluff 的後門,該後門會啓動 Node.js 解釋器並讓攻擊者遠程訪問目標系統。
TinyFluff 是舊後門 TinyNode 的新變種,該幫派在過去的攻擊中使用過。 下圖顯示了今年 3 月 22 日和 3 月 25 日兩個 OldGremlin 活動的感染鏈:
OldGremlin 感染鏈 2022 年 3 月
Group-IB 研究人員發現了 TinyFluff 的兩個變體,一個更複雜的早期版本和一個更新的簡化版本,它從 192.248.176[.]138 的存儲位置複制腳本和 Node.js 解釋器。
“我們相信第一個更複雜的 TinyFluff 版本是原始版本。 這就是該團夥簡化該工具以便他們可以即時使用它的原因。 但是,他們很可能會針對進一步的攻擊對其進行改進”——Group-IB 威脅情報團隊。
目前 Virus Total 掃描平台上的 20 多個防病毒引擎檢測到後門的兩種變體。
報告中,Group-IB 提供了入侵指標以及對 OldGremlin 在上個月部署的兩個網絡釣魚活動中使用的工具的詳細技術分析。
植入後門後,OldGremlin 進入偵察階段,檢查應用程序是否在測試環境中運行。
此攻擊階段的命令以明文形式提供,研究人員可以使用流量嗅探器對其進行檢查
收集有關受感染系統/設備的信息
獲取有關已連接驅動器的信息
啓動 cmd.exe shell,執行命令,並將輸出發送到命令和控制服務器 (C2)
獲取有關系統中安裝的插件的信息
獲取有關系統驅動器上特定目錄中文件的信息
終止 Node.js 解釋器
在部署攻擊的最後階段之前,OldGremlin 可能會在受感染的網絡中花費數月時間:交付該組織的自定義勒索軟件有效負載 TinyCrypt/TinyCryptor。
就像來自其他團夥的勒索軟件攻擊一樣,受害者會收到一張勒索信,其中提供了聯系威脅行爲者進行付款談判的聯系方式。
Group-IB 介紹,自 2020 年研究人員開始追蹤該團夥以來,OldGremlin 至少加密了三家公司。
盡管與其他勒索軟件團夥的攻擊相比,這個數字微不足道,但研究人員指出,OldGremlin 全年都在從他們發起的少數活動中獲益。
2021 年,該團夥僅部署了一次網絡釣魚活動,但這足以讓他們整年忙碌,因爲它提供了對多家企業網絡的初始訪問權限。
Group-IB 表示,由于該組織 3 月份的網絡釣魚活動,今年除目標俄羅斯礦業公司外,更多 OldGremlin 的受害者被發現只是時間問題。
根據他們發現的證據,並在分析網絡釣魚電子郵件和誘餌文件的質量後,研究人員評估出 OldGremlin 有講俄語的成員。