OldGremlin
OldGremlin est le nom donné à un nouveau groupe de hackers dont les opérations ont été découvertes par des experts en cybersécurité. Jusqu'à présent, les activités d'OldGremlin ont été relativement localisées, ciblant uniquement les organisations russes. Les pirates appartenant à OldGremlin semblant connaître couramment le russe, il semble qu'ils n'adhèrent pas à la règle selon laquelle même les autres grands groupes de pirates informatiques suivent - de ne pas cibler les pays russes ou post-soviétiques. Une explication pourrait être qu'OldGremlin tire parti de ses connaissances importantes sur les affaires courantes de la Russie pour mieux positionner ses tentatives de spear-phishing afin de réussir, tout en affinant ses méthodes d'attaque et ses outils malveillants.
OldGremlin adapte rapidement les événements actuels aux attaques de phishing
En effet, dans les nombreuses campagnes menaçantes qui ont été détectées, le groupe a fait preuve de connaissances considérables et a mis à profit des tactiques avancées d'ingénierie sociale pour prendre pied au sein des entreprises ciblées. Dans la première campagne attribuée au groupe, OldGremlin a ciblé une grande organisation médicale en envoyant un e-mail de phishing dans lequel ils se faisaient passer pour la société de portefeuille médiatique RBC. Lorsque COVID-19 a rempli le cycle de nouvelles, les pirates ont changé de tactique et ont commencé à envoyer des courriels qui provenaient supposément de l'organisation Mikrofinansirovaniye i Razvitiye (SRO MiR) et contenaient de fausses instructions sur la façon de créer un environnement de travail sûr au milieu de la pandémie. . La même méthode de phishing a de nouveau été utilisée, mais, cette fois, les criminels se sont fait passer pour la clinique dentaire Novadent.
Lorsque les manifestations en Biélorussie ont commencé, OldGremlin n'a pas tardé à profiter de la nouvelle situation. Les pirates ont rapidement créé une nouvelle série d'e-mails de phishing, prétendant cette fois être envoyés par le PDG de Minsk Tractor Works (MTZ). Le nom utilisé pour les e-mails était «Alesya Vladimirovna» ou «AV Volokhina», qui sont de fausses personnalités, tandis que le véritable PDG de la société s'appelle Vitaly Vovk. Dans les courriels qu'OldGremlin a diffusés à diverses organisations financières russes, les pirates se faisant passer pour MTZ ont affirmé qu'ils étaient sous l'inspection d'un procureur en raison de leur participation à la manifestation. Ils ont demandé aux entreprises ciblées de fournir des documents supplémentaires. Dans le processus, les réseaux internes des entreprises ont été compromis.
OldGremilin utilise un mélange d'outils malveillants auto-développés avec des logiciels tiers
À la suite d'une attaque de phishing réussie, OldGremlin prend pied au sein du réseau de l'entreprise en installant l'un des deux logiciels malveillants de porte dérobée créés sur mesure appelés TinyNode et TinyPosh. TinyPosh, par exemple, est capable d'atteindre la persistance dans le système, d'élever les privilèges du compte à partir duquel il a été exécuté, et est capable de lancer la charge utile Cobalt Strike Beacon. Pour masquer la véritable adresse C&C, les pirates ont utilisé le serveur Cloudflare Workers. Selon les experts de Group-IB, pour masquer les serveurs de commande et de contrôle utilisés pour les campagnes, OldGremlin a utilisé le serveur Cloudflare Workers. Quant à TinyNode, il est principalement utilisé pour télécharger et exécuter des modules malveillants supplémentaires.
Une fois à l'intérieur, les pirates commencent à se déplacer latéralement à travers le réseau compromis pour rechercher des cibles spécifiques. Pour s'assurer que leurs actions laissent une empreinte limitée, ils utilisent le framework Cobalt Strike. Dans la campagne d'attaque contre l'organisation médicale, OldGremlin s'est caché sur le réseau pendant des semaines jusqu'à ce qu'il obtienne les informations d'identification d'administrateur de domaine. Après cela, les pirates ont supprimé toutes les sauvegardes des systèmes et déployé une menace de ransomware personnalisée appelée TinyCryptor (alias TinyCrypt / TInyCryptor / Decr1pt Ransomware). Pour cette campagne particulière, les criminels ont exigé le paiement de 50000 $ en crypto-monnaie et ont utilisé une adresse ProtonMail pour le contact.
