威胁搜寻和情报公司 Group-IB 的研究人员检测到一个名为 OldGremlin 的勒索软件团伙发起的一次成功的攻击。
Group-IB是一家总部位于新加坡的全球威胁搜寻和情报公司,已检测到代号为OldGremlin的勒索软件组织的成功攻击。自三月以来,攻击者一直在尝试对俄罗斯的医学实验室,银行,制造商和软件开发商的大型公司网络进行多阶段攻击。操作员使用一套定制工具,其最终目标是对受感染系统中的文件进行加密,并以大约50,000美元的赎金将其保存。
据 Group-IB 团队所知,对 OldGremlin 的第一次成功攻击已于 8 月被发现。Group-IB 威胁情报小组也收集了早在今年春天的活动的证据。迄今为止,该组织只针对俄罗斯公司,这对于许多讲俄语的对手(例如 Silence 和 Cobalt)在其犯罪之路开始时都是典型的。这些团体以俄罗斯为试验场,然后转向其他地区,与受害者国家的警察保持距离,减少被关进监狱的机会。
未被请求的发票
OldGremlin作为攻击的初始媒介,使用了鱼叉式网络钓鱼电子邮件,并且该组织采用了创新的方法。特别是,他们利用了实际发件人的姓名,在某些情况下,分几个阶段发送了电子邮件,使受害者认为他们正在安排对俄罗斯一本知名商业报纸的记者进行采访。在其他情况下,该组织在白俄罗斯的网络钓鱼电子邮件和反政府集会中使用了COVID-19的主题。
据 Group-IB 威胁情报小组所知,最近一次成功的攻击发生在 8 月份,当时 OldGremlin 的目标是一个在全国运行的临床诊断实验室。对事件的分析表明,勒索软件攻击始于代表俄罗斯主要媒体控股公司发送的带有 “发票” 主题的网络钓鱼电子邮件。在邮件中,OldGremlin 告知接收者他们无法联系受害人的同事,突显了支付账单的紧迫性,该链接已包含在文本正文中。通过单击链接,受害者下载了一个 ZIP 归档文件,其中包含一个独特的自定义后门,称为 TinyNode。后门程序在受感染的计算机上下载并安装其他恶意软件。
然后,网络罪犯使用在TinyNode的帮助下获得的对受害者计算机的远程访问作为网络调查,收集数据并在受害者网络中横向移动的立足点。作为后期开发活动的一部分,OldGremlin使用Cobalt Strike进行横向移动并为域管理员获取身份验证数据。
攻击开始几周后,网络罪犯删除了法国服务器备份,然后借助 OldGremlin 的创意 TinyCryptor 勒索软件(aka decr1pt)加密了受害者的网络。当公司的区域分支机构的工作瘫痪时,他们要求大约 50,000 美元的加密货币。作为联系电子邮件,威胁参与者提供了在 ProtonMail 中注册的电子邮件。
最新的网络钓鱼
IB小组的威胁情报专家还检测到该小组进行的其他网络钓鱼活动,其中第一次是从3月下旬到4月初。当时,该团队从模仿俄罗斯小额信贷组织的电子邮件向金融组织发送了电子邮件,为收件人提供了有关在COVID-19期间如何组织安全远程工作的指南。这是OldGremlin首次使用其其他自定义后门– TinyPosh,它允许攻击者从其C2下载其他模块。为了隐藏其C&C法国服务器,OldGremlin转向了CloudFlare Workers法国服务器。
在上述恶意邮件发生两周后,为了赶进度,OldGremlin 发出了主题为 “大流行期间的全俄罗斯银行和金融部门研究” 的电子邮件,据称是来自一位现实生活中的记者,他拥有一家俄罗斯大型媒体。发送者随后要求进行在线面试,并按日程安排,并通知他们面试的问题已上传至云平台。就像他们的第一次活动一样,这个链接下载了一个定制的 TinyPosh 木马程序。
图 1 代表白俄罗斯工厂发送的网络钓鱼电子邮件
CERT-GIB 在 8 月 19 日发现了 OldGremlin 的另一轮网络钓鱼电子邮件,当时该组织发出利用白俄罗斯抗议活动的邮件。据称来 Minsk Tractor 工厂首席执行官的电子邮件告知其合作伙伴,该企业因参与反政府抗议活动而受到该国检察院的调查,并要求他们发送丢失的文件。据报道,必要文件的列表已附加到电子邮件中,试图将其下载,但是让 TinyPosh 进入了用户的计算机。在 5 月和 8 月之间,IB 小组发现了该小组进行的 9 项运动。
Group-IB高级数字取证分析师Oleg Skulkin评论道:“ OldGremlin与其他讲俄语的威胁行为者之间的区别在于,他们不害怕在俄罗斯工作*。 *”这表明攻击者必须先保持沉默,然后再调整自己的技术以利用自己国家的优势,然后走向全球,例如Silence和Cobalt,或者它们是俄罗斯一些邻国的代表,这些邻国各国对俄罗斯具有强大的指挥权。全球紧张局势在中国,网络犯罪分子已经学会操纵政治议程,这使我们有理由暗示,攻击者可能来自与俄罗斯有争议或关系薄弱的后苏联国家。”
尽管勒索软件运营商最近展示了这种病毒,但仍可以采取许多措施来抵御勒索软件攻击。其中包括使用多因素身份验证,用于通过 RDP 访问的帐户的复杂密码以及定期更改密码,限制可用于建立外部 RDP 连接的 IP 地址列表等。相关威胁情报和主动方法在建立弹性基础架构中,应对威胁搜寻至关重要。实施 Group-IB 威胁检测系统可以在网络和主机级别上寻求高级。www.group-ib.com/blog/oldgremlin 上提供了对 OldGremlin 的运营以及 IOC 的技术分析。
关于 IB 集团
Group-IB 是一家总部位于新加坡的解决方案提供商,旨在检测和预防网络攻击和在线欺诈。该公司还专门从事备受瞩目的网络调查和 IP 保护服务。
IB 集团是国际刑警组织(Europol)的合作伙伴,并被 OSCE 推荐为网络安全解决方案提供商。
以上文章部分内容采集于网络,如有侵权请联系创一网客服处理,谢谢!