Group-IB 检测到 OldGremlin 勒索软件一系列鱼叉式网络钓鱼攻击
威胁情报公司Group-IB的研究人员检测到一个名为OldGremlin的勒索软件团伙发起的一次成功攻击。
Group-IB是一家总部位于新加坡的全球威胁情报公司,已检测到代号为OldGremlin的勒索软件团伙的成功攻击。自三月以来,攻击者一直试图对俄罗斯的医疗实验室,银行,制造商和软件开发商的大型公司网络进行多阶段攻击。运营商使用一套定制工具,其最终目的是对受感染系统中的文件进行加密,并以约50,000美元的赎金将其持有。
据Group-IB团队所知,对OldGremlin的第一次成功攻击已于8月被发现。Group-IB威胁情报小组也收集了早在今年春天的活动的证据。迄今为止,该组织只针对俄罗斯公司,这对于许多讲俄语的对手(例如Silence和Cobalt)在其犯罪之路开始时都是典型的。这些团体以俄罗斯为试验场,然后转向其他地区,与受害者国家的警察保持距离,减少被关进监狱的机会。
Unsought invoice
作为攻击的最初媒介,OldGremlin使用鱼叉式网络钓鱼电子邮件,该组织采用了创造性的方法。他们尤其利用了实际存在的发件人的名字,并且在某些情况下,分几个阶段发送了电子邮件,使受害者认为他们正在安排对俄罗斯一本颇受欢迎的商业报纸记者的采访。在其他情况下,该团伙利用网络钓鱼邮件中的COVID-19主题和白俄罗斯的反政府集会。
据Group-IB威胁情报小组所知,最近一次成功的攻击发生在8月份,当时OldGremlin的目标是一个在全国运行的临床诊断实验室。对事件的分析表明,勒索软件攻击始于代表俄罗斯主要媒体控股公司发送的带有“发票”主题的网络钓鱼电子邮件。在邮件中,OldGremlin告知接收者他们无法联系受害人的同事,突显了支付账单的紧迫性,该链接已包含在文本正文中。通过单击链接,受害者下载了一个ZIP归档文件,其中包含一个独特的自定义后门,称为TinyNode。后门程序在受感染的计算机上下载并安装其他恶意软件。
然后,网络罪犯使用在TinyNode的帮助下获得的对受害者计算机的远程访问作为网络侦查的立足点,在受害者网络中收集数据和横向移动。作为开发后活动的一部分,OldGremlin使用Cobalt Strike横向移动并获取域管理员的身份验证数据。
攻击开始几周后,网络罪犯删除了服务器备份,然后借助OldGremlin的创意TinyCryptor勒索软件(aka decr1pt)加密了受害者的网络。当公司的区域分支机构的工作瘫痪时,他们要求大约50,000美元的加密货币。作为联系电子邮件,威胁参与者提供了在ProtonMail中注册的电子邮件。
最新的网络钓鱼
IB组威胁情报专家还检测到该组进行的其他网络钓鱼活动,其中第一项发生在3月下旬至4月初。当时,该小组从模仿俄罗斯小额信贷组织的电子邮件中向金融组织发送了电子邮件,为收件人提供了有关在COVID-19期间如何组织安全远程工作的指南。这是OldGremlin首次使用其其他自定义后门– TinyPosh,它允许攻击者从其C2下载其他模块。为了隐藏其C&C服务器,OldGremlin求助于CloudFlare Workers服务器。
在上述恶意邮件发生两周后,为了赶进度,OldGremlin发出了主题为“大流行期间的全俄罗斯银行和金融部门研究”的电子邮件,据称是来自一位现实生活中的记者,他拥有一家俄罗斯大型媒体。发送者随后要求进行在线面试,并按日程安排,并通知他们面试的问题已上传至云平台。就像他们的第一次活动一样,这个链接下载了一个定制的TinyPosh木马程序。
图1代表白俄罗斯工厂发送的网络钓鱼电子邮件
CERT-GIB在8月19日发现了OldGremlin的另一轮网络钓鱼电子邮件,当时该组织发出利用白俄罗斯抗议活动的邮件。据称来Minsk Tractor工厂首席执行官的电子邮件告知其合作伙伴,该企业因参与反政府抗议活动而受到该国检察院的调查,并要求他们发送丢失的文件。据报道,必要文件的列表已附加到电子邮件中,试图将其下载,但是让TinyPosh进入了用户的计算机。在5月和8月之间,IB小组发现了该小组进行的9项运动。
Group-IB高级数字取证分析师Oleg Skulkin评论说:“ OldGremlin与其他讲俄语的威胁行为者的区别在于他们无惧在俄罗斯工作*。” *“这表明,攻击者要么在沉默之前就调整自己的技术,以从本国优势中获益,然后再走向全球,例如Silence和Cobalt就是这样,或者他们是俄罗斯一些邻国的代表,这些邻国对俄罗斯拥有强大的指挥权。在全球紧张局势中,网络犯罪分子已经学会操纵政治议程,这使我们有理由暗示,攻击者可能来自与俄罗斯有争议或关系薄弱的后苏联国家。”
尽管勒索软件运营商最近展示了这种病毒,但仍可以采取许多措施来抵御勒索软件攻击。其中包括使用多因素身份验证,用于通过RDP访问的帐户的复杂密码以及定期更改密码,限制可用于建立外部RDP连接的IP地址列表等。相关威胁情报和主动方法在建立弹性基础架构中,应对威胁搜寻至关重要。实施Group-IB 威胁检测系统可以在网络和主机级别上寻求高级。www.group-ib.com/blog/oldgremlin 上提供了对OldGremlin的运营以及IOC的技术分析。
关于IB集团
Group-IB是一家总部位于新加坡的解决方案提供商,旨在检测和预防网络攻击和在线欺诈。该公司还专门从事备受瞩目的网络调查和IP保护服务。
Group-IB是国际刑警组织(Europol)的合作伙伴,并被OSCE推荐为网络安全解决方案提供商。
