Group-IB 檢測到 OldGremlin 勒索軟件一系列魚叉式網絡釣魚攻擊
威脅情報公司Group-IB的研究人員檢測到一個名為OldGremlin的勒索軟件團伙發起的一次成功攻擊。
Group-IB是一家總部位于新加坡的全球威脅情報公司,已檢測到代號為OldGremlin的勒索軟件團伙的成功攻擊。自三月以來,攻擊者一直試圖對俄羅斯的醫療實驗室,銀行,制造商和軟件開發商的大型公司網絡進行多階段攻擊。運營商使用一套定制工具,其最終目的是對受感染系統中的文件進行加密,并以約50,000美元的贖金將其持有。
據Group-IB團隊所知,對OldGremlin的第一次成功攻擊已于8月被發現。Group-IB威脅情報小組也收集了早在今年春天的活動的證據。迄今為止,該組織只針對俄羅斯公司,這對于許多講俄語的對手(例如Silence和Cobalt)在其犯罪之路開始時都是典型的。這些團體以俄羅斯為試驗場,然后轉向其他地區,與受害者國家的警察保持距離,減少被關進監獄的機會。
Unsought invoice
作為攻擊的最初媒介,OldGremlin使用魚叉式網絡釣魚電子郵件,該組織采用了創造性的方法。他們尤其利用了實際存在的發件人的名字,并且在某些情況下,分幾個階段發送了電子郵件,使受害者認為他們正在安排對俄羅斯一本頗受歡迎的商業報紙記者的采訪。在其他情況下,該團伙利用網絡釣魚郵件中的COVID-19主題和白俄羅斯的反政府集會。
據Group-IB威脅情報小組所知,最近一次成功的攻擊發生在8月份,當時OldGremlin的目標是一個在全國運行的臨床診斷實驗室。對事件的分析表明,勒索軟件攻擊始于代表俄羅斯主要媒體控股公司發送的帶有“發票”主題的網絡釣魚電子郵件。在郵件中,OldGremlin告知接收者他們無法聯系受害人的同事,突顯了支付賬單的緊迫性,該鏈接已包含在文本正文中。通過單擊鏈接,受害者下載了一個ZIP歸檔文件,其中包含一個獨特的自定義后門,稱為TinyNode。后門程序在受感染的計算機上下載并安裝其他惡意軟件。
然后,網絡罪犯使用在TinyNode的幫助下獲得的對受害者計算機的遠程訪問作為網絡偵查的立足點,在受害者網絡中收集數據和橫向移動。作為開發后活動的一部分,OldGremlin使用Cobalt Strike橫向移動并獲取域管理員的身份驗證數據。
攻擊開始幾周后,網絡罪犯刪除了服務器備份,然后借助OldGremlin的創意TinyCryptor勒索軟件(aka decr1pt)加密了受害者的網絡。當公司的區域分支機構的工作癱瘓時,他們要求大約50,000美元的加密貨幣。作為聯系電子郵件,威脅參與者提供了在ProtonMail中注冊的電子郵件。
最新的網絡釣魚
IB組威脅情報專家還檢測到該組進行的其他網絡釣魚活動,其中第一項發生在3月下旬至4月初。當時,該小組從模仿俄羅斯小額信貸組織的電子郵件中向金融組織發送了電子郵件,為收件人提供了有關在COVID-19期間如何組織安全遠程工作的指南。這是OldGremlin首次使用其其他自定義后門– TinyPosh,它允許攻擊者從其C2下載其他模塊。為了隱藏其C&C服務器,OldGremlin求助于CloudFlare Workers服務器。
在上述惡意郵件發生兩周后,為了趕進度,OldGremlin發出了主題為“大流行期間的全俄羅斯銀行和金融部門研究”的電子郵件,據稱是來自一位現實生活中的記者,他擁有一家俄羅斯大型媒體。發送者隨后要求進行在線面試,并按日程安排,并通知他們面試的問題已上傳至云平臺。就像他們的第一次活動一樣,這個鏈接下載了一個定制的TinyPosh木馬程序。
圖1代表白俄羅斯工廠發送的網絡釣魚電子郵件
CERT-GIB在8月19日發現了OldGremlin的另一輪網絡釣魚電子郵件,當時該組織發出利用白俄羅斯抗議活動的郵件。據稱來Minsk Tractor工廠首席執行官的電子郵件告知其合作伙伴,該企業因參與反政府抗議活動而受到該國檢察院的調查,并要求他們發送丟失的文件。據報道,必要文件的列表已附加到電子郵件中,試圖將其下載,但是讓TinyPosh進入了用戶的計算機。在5月和8月之間,IB小組發現了該小組進行的9項運動。
Group-IB高級數字取證分析師Oleg Skulkin評論說:“ OldGremlin與其他講俄語的威脅行為者的區別在于他們無懼在俄羅斯工作*。” *“這表明,攻擊者要么在沉默之前就調整自己的技術,以從本國優勢中獲益,然后再走向全球,例如Silence和Cobalt就是這樣,或者他們是俄羅斯一些鄰國的代表,這些鄰國對俄羅斯擁有強大的指揮權。在全球緊張局勢中,網絡犯罪分子已經學會操縱政治議程,這使我們有理由暗示,攻擊者可能來自與俄羅斯有爭議或關系薄弱的后蘇聯國家。”
盡管勒索軟件運營商最近展示了這種病毒,但仍可以采取許多措施來抵御勒索軟件攻擊。其中包括使用多因素身份驗證,用于通過RDP訪問的帳戶的復雜密碼以及定期更改密碼,限制可用于建立外部RDP連接的IP地址列表等。相關威脅情報和主動方法在建立彈性基礎架構中,應對威脅搜尋至關重要。實施Group-IB 威脅檢測系統可以在網絡和主機級別上尋求高級。www.group-ib.com/blog/oldgremlin 上提供了對OldGremlin的運營以及IOC的技術分析。
關于IB集團
Group-IB是一家總部位于新加坡的解決方案提供商,旨在檢測和預防網絡攻擊和在線欺詐。該公司還專門從事備受矚目的網絡調查和IP保護服務。
Group-IB是國際刑警組織(Europol)的合作伙伴,并被OSCE推薦為網絡安全解決方案提供商。
