多家俄國企業遭到 OldGremlin 鎖定發動勒贖攻擊.png

資安廠商觀測指出,一個全新的駭侵團體 OldGremlin 開始針對俄國企業,發動勒贖駭侵攻擊,受害者包括金融服務業、製造業和醫療保健業等。

資安廠商 Group-IB 發表研究報告指出,一個全新的駭侵團體 OldGremlin,近來開始針對俄國企業,發動勒贖駭侵攻擊;受害者包括金融服務業、製造業和醫療保健業等。

這個名為 OldGremlin 的全新駭侵團體,典型的攻擊手法是透透 Email 發動魚叉式釣魚攻擊,以和肺炎疫情或媒體採訪邀請有關的主題,誘使受害者開啟含有惡意程式碼或連結的信件,再以自製的 TinyPosh 和 TinyNode 後門程式進行駭侵攻擊。

研究人員發現 OldGremlin 自今年七月起發動第一次攻擊動,對某家俄國醫療業者發動勒贖攻擊,該公司內部網路的資料全遭加密;駭侵者要求五萬美元贖金以解鎖檔案。

到目前為止,Group-IB 至少觀察到 OldGremlin 發動七次釣魚攻擊;該團體時而假冒為自治團體、俄國冶金公司、白俄羅斯曳引機工廠、牙醫診所、媒體等不同身分,向目標發送主題諸如「即將到期帳單」之類的郵件,並夾帶含有 TinyPosh 或 TinyNode 惡意軟體的檔案。

Group-IB 指出,該團體使用的惡意軟體開始執行後的 20 秒左右,就會觸發 Windows Defender 的反應,並且自動刪除惡意軟體;但這 20 秒已經足夠讓惡意程式碼常駐在系統中,並且下載其他惡意軟體,用戶反而因為這樣而不會意識到電腦遭駭。


  • 參考連結

https://www.group-ib.com/blog/oldgremlin

https://threatpost.com/oldgremlin-russian-ransomware/159479/

    twcert 發表在 痞客邦 留言(0) 人氣()