Özenle hazırlanmış, düzensiz kampanyalar yürütmek için özellikle gelişmiş becerilerini kullanan az bilinen bir tehdit aktörü OldGremlin, bir yıldan fazla bir aradan sonra geçen ay geri döndü.
Grup, 2021’in başından beri beşten az olan ve yalnızca Rusya’daki işletmeleri hedefleyen az sayıda kampanya ve şirket içinde oluşturulan özel arka kapıların kullanımıyla kendisini diğer fidye yazılımı operasyonlarından ayırıyor.
Fidye yazılımı işinin ay ışığına daha yakın olduğunu düşündürebilecek daha az aktif olmasına rağmen, OldGremlin kurbanlarından birinden 3 milyon dolara kadar fidye talep etti.
Özenle hazırlanmış kimlik avı
En son OldGremlin etkinliği, Mart 2022’nin sonuna doğru başlatılan iki kimlik avı kampanyasından oluşuyor. Kaç şirketin hedef alındığını değerlendirmek için henüz çok erken ancak güvenlik araştırmacıları, madencilik sektöründeki en az bir Rus şirketinin kurban listesinde olduğunu söylüyor.
Düşman, ilk erişimi elde etmek için daha önce gözlemlediği taktiğinden uzaklaşmadı ve trend olan haber konularından yararlandı.
Singapur merkezli siber güvenlik şirketi Group-IB’deki güvenlik araştırmacıları, OldGremlin’in bu sefer bir Rus finans kuruluşunda kıdemli bir muhasebeciyi taklit ettiğini ve Rusya’ya uygulanan son yaptırımların Visa ve Mastercard ödeme işleme sistemlerinin faaliyetlerini askıya alacağı konusunda uyardığını söylüyor.
Hello,
We, at [masked], have received reliable information about new sanctions in the next couple of days. The Visa/Mastercard payment system will be shut down completely. All cards issued in our country will no longer work.
Everyone must therefore urgently issue [masked] cards and link them to their bank payroll.
Use the following instructions [hyperlink] for the following banks: [masked]
Fill out the form (see attachment) and send it back, making sure to specify the bank branch at which it is convenient for you to pick up the bank card.
Remember that if you want to link a card to a payroll, you must inform the accounting department of the account details after receiving the card.
Please sign and send the form to our email address within 5 (five) hours from the moment you receive this email. For the purposes of efficiency, please send it in this email thread chain.
[masked],
Senior Accountant at [masked]
Yeni özel arka kapı
E-posta, alıcıyı, Node.js yorumlayıcısını başlatan ve saldırgana hedef sisteme uzaktan erişim sağlayan TinyFluff adlı bir arka kapıyı indiren Dropbox deposunda saklanan kötü amaçlı bir belgeye yönlendirdi.
TinyFluff, eski bir arka kapı olan TinyNode’un yeni bir çeşididir. geçmiş saldırılar. Aşağıdaki resim, bu yıl 22 Mart ve 25 Mart’ta gerçekleştirilen iki OldGremlin kampanyasındaki enfeksiyon zincirlerini göstermektedir:
Grup-IB araştırmacılar TinyFluff’ın iki çeşidini keşfettiler; bunlardan biri daha karmaşık, diğeri ise betiği ve Node.js yorumlayıcısını 192.248.176’daki depolama konumundan kopyalayan daha yeni, basitleştirilmiş bir sürüm.[.]138.
“TinyFluff’ın ilk, daha karmaşık versiyonunun ham olduğuna inanıyoruz. Bu yüzden ekip aracı basitleştirdi, böylece anında kullanabilirler. Ancak, daha sonraki saldırılar için büyük olasılıkla geliştireceklerdir” – Group-IB Threat Intelligence ekibi
Arka kapının her iki türü de şu anda Virüs Toplamı tarama platformunda 20’den fazla antivirüs motoru tarafından algılanıyor.
BleepingComputer ile paylaşılan bir raporda Group-IB, uzlaşma göstergeleri sağlar ve OldGremlin’in kullandığı araçların ayrıntılı teknik analizi geçen ay dağıtılan iki kimlik avı kampanyasında.
Arka kapıyı yerleştirdikten sonra OldGremlin, uygulamanın bir test ortamında çalışıp çalışmadığını kontrol ederek keşif aşamasına geçer.
Saldırının bu aşaması için komutlar açık metin olarak iletilerek araştırmacıların bir trafik dinleyicisi kullanarak bunları incelemesine olanak tanır.
- virüslü sistem/cihaz hakkında bilgi toplama
- bağlı sürücüler hakkında bilgi edinme
- cmd.exe kabuğunu başlatma, bir komut yürütme ve çıktıyı komut ve kontrol sunucusuna gönderme (C2)
- sistemde kurulu eklentiler hakkında bilgi edinme
- sistem sürücüsündeki belirli dizinlerdeki dosyalar hakkında bilgi alma
- Node.js yorumlayıcısını sonlandırma
OldGremlin, saldırının son aşamasını dağıtmadan önce güvenliği ihlal edilmiş ağ içinde aylar geçirebilir: Grubun özel fidye yazılımı yükü olan TinyCrypt/TinyCryptor’ı teslim etmek.
Diğer çetelerden gelen fidye yazılımı saldırılarında olduğu gibi, kurban, ödeme müzakereleri için tehdit aktörüne ulaşmak için bir temas sağlayan bir fidye notu alır.
Group-IB, BleepingComputer’a, araştırmacıların 2020’de çeteyi izlemeye başlamasından bu yana OldGremlin’in en az üç şirketi şifrelediğini söyledi.
Bu sayı, diğer fidye yazılımı çetelerinin saldırılarına kıyasla önemsiz olsa da, araştırmacılar, OldGremlin’in tüm yılını başlattıkları birkaç kampanyanın faydalarını toplamak için harcadığını belirtiyorlar.
2021’de çete yalnızca bir kimlik avı kampanyası başlattı, ancak birden fazla işletme ağına ilk erişim sağladığı için tüm yıl boyunca onları meşgul etmeye yetti.
Group-IB, grubun Mart ayındaki kimlik avı faaliyetinin bir sonucu olarak, hedeflenen Rus madencilik şirketi dışında, OldGremlin’in daha fazla sayıda kurbanının bu yıl ortaya çıkarılmasının an meselesi olduğunu söylüyor.
Araştırmacılar, buldukları kanıtlara ve kimlik avı e-postalarının ve sahte belgelerin kalitesini analiz ettikten sonra, OldGremlin’in Rusça konuşan üyeleri olduğunu değerlendiriyor.
Grubun Rus manzarası hakkında sahip olduğu bilgiyi “şaşırtıcı” olarak nitelendirdiler.
OldGremlin, yalnızca Rus şirketlerine (bankalar, endüstriyel kuruluşlar, tıbbi kuruluşlar ve yazılım geliştiriciler) odaklanarak, Rus topraklarındaki varlıklara saldırmama konusundaki konuşulmayan kuralı çiğniyor.
Grup-IB’nin son OldGremlin kampanyalarına ilişkin, saldırıların teknik analizini ve güvenliği ihlal edilmiş göstergeleri içeren raporu şu adreste mevcuttur: şirketin web sitesi.