近几个月来,针对关键基础设施的勒索软件攻击激增,网络安全研究人员发现了一个新攻击者,该攻击者一直在尝试对俄罗斯的医疗实验室、银行、制造商和软件开发商的大型公司网络进行多阶段攻击。
这个代号为“OldGremlin”的勒索软件团伙至少自3月以来与一系列活动有关,其中包括上月8月11日发生的对一家临床诊断实验室的成功攻击。
新加坡网络安全公司Group-IB在今天发布的一份报告中说:“该组织迄今只针对俄罗斯公司。”
“利用俄罗斯作为试验场,这些组织随后转移到其他地区,以减少落网的可能性。”
OldGremlin的操作方式包括使用自定义后门(如TinyNode和TinyPosh下载额外的有效负载),最终目标是使用TinyCryptor勒索软件(又名Dec1pt)加密受感染系统中的文件,并以约5万美元的价格进行勒索。
另外,运营商使用代表俄罗斯RBC集团(总部位于莫斯科的主要媒体集团)发送的网络钓鱼电子邮件在网络上获得了最初的立足点,邮件主题中带有“发票”。
攻击者提供了一个恶意链接,当点击该链接会下载TinyNode恶意软件。
攻击者找到他们的出路后,对受感染计算机的进行远程访问,利用它通过Cobalt Strike在网络上横向移动并收集域管理员的身份验证数据。
在3月和4月观察到的另一种攻击变体中,我们发现攻击者使用以COVID为主题的网络钓鱼诱骗,向伪装成俄罗斯小额信贷组织的金融企业提供TinyPosh 木马。
随后,我们在8月19日发现了另一波运动,当时攻击者利用白俄罗斯正在进行的抗议活动谴责政府,发动了网络钓鱼消息,这再次证明了攻击者善于利用世界事件发起攻击。
根据Group-IB的数据,从5月到8月,OldGremlin总共落后了9个竞选活动。
Group-IB的高级数字取证分析师Oleg Skulkin说:“OldGremlin与其他讲俄语的攻击者的区别在于他们无惧在俄罗斯工作。”
“这表明攻击者可能在走向全球之前就调整自身的技术以从本国优势中受益,或者它们是俄罗斯一些邻国的代表,这些邻国对俄罗斯掌握了强大的指挥权。”
稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理,
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册