Программа-вымогатель OldGremlin внедряет новое вредоносное ПО в российскую майнинговую организацию

 

OldGremlin, малоизвестный злоумышленник, который использует свои особенно продвинутые навыки для проведения тщательно подготовленных спорадических кампаний, вернулся в прошлом месяце после перерыва более чем в год. Группа отличается от других программ-вымогателей небольшим количеством кампаний (менее пяти с начала 2021 года), нацеленных только на предприятия в России, и использованием собственных бэкдоров.

Несмотря на то, что он менее активен, что может свидетельствовать о том, что бизнес по вымогательству ближе к подработке, OldGremlin потребовал от одной из своих жертв выкуп до 3 миллионов долларов.

Самая последняя активность OldGremlin состоит из двух фишинговых кампаний, запущенных в конце марта 2022 года. Слишком рано оценивать, сколько компаний было атаковано, но исследователи безопасности говорят, что по крайней мере одна российская компания в горнодобывающем секторе находится в списке жертв.

Злоумышленник не стал отказываться от ранее применявшейся тактики получения начального доступа и воспользовался актуальными темами новостей. Исследователи безопасности из сингапурской компании по кибербезопасности Group-IB говорят, что на этот раз OldGremlin выдавал себя за старшего бухгалтера российской финансовой организации, предупредив, что недавние санкции, введенные против России, приостановят работу платежных систем Visa и Mastercard.

Электронное письмо указывало получателю на вредоносный документ, хранящийся в хранилище Dropbox, который загружает бэкдор под названием TinyFluff, который запускает интерпретатор Node.js и предоставляет злоумышленнику удаленный доступ к целевой системе. Оба варианта бэкдора в настоящее время обнаруживаются более чем 20 антивирусными ядрами на платформе сканирования Virus Total.

После установки бэкдора OldGremlin переходит к этапу разведки, проверяя, работает ли приложение в тестовой среде. Команды для этого этапа атаки передаются в виде открытого текста, что позволяет исследователям исследовать их с помощью анализатора трафика.

Как и в случае с атаками программ-вымогателей от других банд, жертва получает записку с требованием выкупа, в которой содержится контакт для связи с злоумышленником для переговоров об оплате.