威脅搜尋和情報公司 Group-IB 的研究人員檢測到一個名為 OldGremlin 的勒索軟件團伙發(fā)起的一次成功的攻擊���。
Group-IB是一家總部位于新加坡的全球威脅搜尋和情報公司�,已檢測到代號為OldGremlin的勒索軟件組織的成功攻擊�����。自三月以來����,攻擊者一直在嘗試對俄羅斯的醫(yī)學實驗室,銀行����,制造商和軟件開發(fā)商的大型公司網(wǎng)絡進行多階段攻擊。操作員使用一套定制工具�����,其最終目標是對受感染系統(tǒng)中的文件進行加密,并以大約50,000美元的贖金將其保存���。
據(jù) Group-IB 團隊所知����,對 OldGremlin 的第一次成功攻擊已于 8 月被發(fā)現(xiàn)��。Group-IB 威脅情報小組也收集了早在今年春天的活動的證據(jù)�����。迄今為止����,該組織只針對俄羅斯公司�,這對于許多講俄語的對手(例如 Silence 和 Cobalt)在其犯罪之路開始時都是典型的。這些團體以俄羅斯為試驗場���,然后轉(zhuǎn)向其他地區(qū)�����,與受害者國家的警察保持距離�����,減少被關(guān)進監(jiān)獄的機會�����。
未被請求的發(fā)票
OldGremlin作為攻擊的初始媒介����,使用了魚叉式網(wǎng)絡釣魚電子郵件,并且該組織采用了創(chuàng)新的方法���。特別是�����,他們利用了實際發(fā)件人的姓名�����,在某些情況下����,分幾個階段發(fā)送了電子郵件�,使受害者認為他們正在安排對俄羅斯一本知名商業(yè)報紙的記者進行采訪��。在其他情況下�����,該組織在白俄羅斯的網(wǎng)絡釣魚電子郵件和反政府集會中使用了COVID-19的主題�����。
據(jù) Group-IB 威脅情報小組所知����,最近一次成功的攻擊發(fā)生在 8 月份�,當時 OldGremlin 的目標是一個在全國運行的臨床診斷實驗室。對事件的分析表明����,勒索軟件攻擊始于代表俄羅斯主要媒體控股公司發(fā)送的帶有 “發(fā)票” 主題的網(wǎng)絡釣魚電子郵件��。在郵件中�����,OldGremlin 告知接收者他們無法聯(lián)系受害人的同事����,突顯了支付賬單的緊迫性��,該鏈接已包含在文本正文中���。通過單擊鏈接,受害者下載了一個 ZIP 歸檔文件�,其中包含一個獨特的自定義后門,稱為 TinyNode��。后門程序在受感染的計算機上下載并安裝其他惡意軟件�。
然后,網(wǎng)絡罪犯使用在TinyNode的幫助下獲得的對受害者計算機的遠程訪問作為網(wǎng)絡調(diào)查����,收集數(shù)據(jù)并在受害者網(wǎng)絡中橫向移動的立足點。作為后期開發(fā)活動的一部分����,OldGremlin使用Cobalt Strike進行橫向移動并為域管理員獲取身份驗證數(shù)據(jù)。
攻擊開始幾周后�����,網(wǎng)絡罪犯刪除了潮州服務器備份�����,然后借助 OldGremlin 的創(chuàng)意 TinyCryptor 勒索軟件(aka decr1pt)加密了受害者的網(wǎng)絡。當公司的區(qū)域分支機構(gòu)的工作癱瘓時����,他們要求大約 50,000 美元的加密貨幣。作為聯(lián)系電子郵件����,威脅參與者提供了在 ProtonMail 中注冊的電子郵件。
最新的網(wǎng)絡釣魚
IB小組的威脅情報專家還檢測到該小組進行的其他網(wǎng)絡釣魚活動���,其中第一次是從3月下旬到4月初����。當時�,該團隊從模仿俄羅斯小額信貸組織的電子郵件向金融組織發(fā)送了電子郵件,為收件人提供了有關(guān)在COVID-19期間如何組織安全遠程工作的指南��。這是OldGremlin首次使用其其他自定義后門– TinyPosh�����,它允許攻擊者從其C2下載其他模塊��。為了隱藏其C&C潮州服務器�,OldGremlin轉(zhuǎn)向了CloudFlare Workers潮州服務器。
在上述惡意郵件發(fā)生兩周后��,為了趕進度����,OldGremlin 發(fā)出了主題為 “大流行期間的全俄羅斯銀行和金融部門研究” 的電子郵件,據(jù)稱是來自一位現(xiàn)實生活中的記者��,他擁有一家俄羅斯大型媒體��。發(fā)送者隨后要求進行在線面試���,并按日程安排�,并通知他們面試的問題已上傳至云平臺����。就像他們的第一次活動一樣,這個鏈接下載了一個定制的 TinyPosh 木馬程序�����。
圖 1 代表白俄羅斯工廠發(fā)送的網(wǎng)絡釣魚電子郵件
CERT-GIB 在 8 月 19 日發(fā)現(xiàn)了 OldGremlin 的另一輪網(wǎng)絡釣魚電子郵件�,當時該組織發(fā)出利用白俄羅斯抗議活動的郵件����。據(jù)稱來 Minsk Tractor 工廠首席執(zhí)行官的電子郵件告知其合作伙伴�����,該企業(yè)因參與反政府抗議活動而受到該國檢察院的調(diào)查�,并要求他們發(fā)送丟失的文件。據(jù)報道�����,必要文件的列表已附加到電子郵件中��,試圖將其下載��,但是讓 TinyPosh 進入了用戶的計算機����。在 5 月和 8 月之間,IB 小組發(fā)現(xiàn)了該小組進行的 9 項運動�。
Group-IB高級數(shù)字取證分析師Oleg Skulkin評論道:“ OldGremlin與其他講俄語的威脅行為者之間的區(qū)別在于,他們不害怕在俄羅斯工作*�����。 *”這表明攻擊者必須先保持沉默�,然后再調(diào)整自己的技術(shù)以利用自己國家的優(yōu)勢,然后走向全球���,例如Silence和Cobalt�,或者它們是俄羅斯一些鄰國的代表�,這些鄰國各國對俄羅斯具有強大的指揮權(quán)。全球緊張局勢在中國���,網(wǎng)絡犯罪分子已經(jīng)學會操縱政治議程���,這使我們有理由暗示,攻擊者可能來自與俄羅斯有爭議或關(guān)系薄弱的后蘇聯(lián)國家�����?!?br/>
盡管勒索軟件運營商最近展示了這種病毒,但仍可以采取許多措施來抵御勒索軟件攻擊�����。其中包括使用多因素身份驗證���,用于通過 RDP 訪問的帳戶的復雜密碼以及定期更改密碼���,限制可用于建立外部 RDP 連接的 IP 地址列表等��。相關(guān)威脅情報和主動方法在建立彈性基礎(chǔ)架構(gòu)中���,應對威脅搜尋至關(guān)重要。實施 Group-IB 威脅檢測系統(tǒng)可以在網(wǎng)絡和主機級別上尋求高級�����。www.group-ib.com/blog/oldgremlin 上提供了對 OldGremlin 的運營以及 IOC 的技術(shù)分析�。
關(guān)于 IB 集團
Group-IB 是一家總部位于新加坡的解決方案提供商,旨在檢測和預防網(wǎng)絡攻擊和在線欺詐����。該公司還專門從事備受矚目的網(wǎng)絡調(diào)查和 IP 保護服務。
IB 集團是國際刑警組織(Europol)的合作伙伴���,并被 OSCE 推薦為網(wǎng)絡安全解決方案提供商����。
以上文章部分內(nèi)容采集于網(wǎng)絡,如有侵權(quán)請聯(lián)系創(chuàng)一網(wǎng)客服處理�,謝謝!
