TinyFluff Backdoor

L'organisation cybercriminelle suivie par les chercheurs de l'infosec sous le nom d'OldGremlin est de retour. Cet acteur de menace particulier préfère rester discret et n'exécuter que quelques campagnes menaçantes avant de retomber en sommeil. Pourtant, le groupe est extrêmement sophistiqué et ses attaques sont soigneusement planifiées, exécutées et fermées. Parmi les caractéristiques distinctives d'OldGremlin figurent le fait que ses victimes sont toujours des entreprises russes et qu'il utilise des menaces de porte dérobée sur mesure pour livrer ses charges utiles finales de ransomware. A noter que dans un cas confirmé, le groupe a demandé à ses victimes une rançon de 3 millions de dollars, ce qui pourrait expliquer le manque d'urgence à être constamment actif.

Détails de la porte dérobée

Les dernières opérations d'OldGremlin incluent deux attaques de phishing qui délivrent une nouvelle menace de porte dérobée nommée TinyFLuff Backdoor. TinyFluff semble être une variante modifiée et mise à jour d'une ancienne menace de porte dérobée OldGremlin suivie sous le nom de TinyNode. Les chercheurs du Group-IB ont observé deux variantes différentes de TinyFluff. La première est plus complexe tandis que la variante la plus récente a été rationalisée et simplifiée pour faciliter l'utilisation à la volée. La menace de porte dérobée est susceptible d'être encore optimisée pour toute attaque future.

TinyFluff lancera un interpréteur Node.js et fournira aux pirates un accès aux appareils piratés. Cependant, avant d'être complètement activée, la menace vérifiera le système compromis pour des signes de virtualisation ou un environnement de test. Ensuite, TinyFluff passera à l'étape de reconnaissance de l'opération d'attaque. Les commandes reçues par la porte dérobée arrivent sous forme de texte clair, ce qui permet aux chercheurs en cybersécurité de les examiner facilement.

Selon leurs conclusions, TinyFluff peut être chargé de commencer à collecter des informations système, des informations sur tous les lecteurs connectés et le branchement installé sur le système. La menace est également capable de lancer un shell cmd.exe pour exécuter des commandes. Il peut également obtenir des informations sur les fichiers contenus dans des répertoires spécifiques sur le lecteur du système. Enfin, TinyFluff peut mettre fin aux activités de l'interpréteur Node.js.