กลุ่ม OldGremlin โจมตีองค์กรต่างๆในรัสเซีย


กลุ่มอาชญากรไซเบอร์กลุ่มใหม่ที่เรียกว่า OldGremlin กำหนดเป้าหมายการโจมตีไปยังบริษัทต่างๆในประเทศรัสเซียรวมถึงธนาคารและบริษัททางการแพทย์

OldGremlin อาศัย Tools มากมาย รวมไปถึง backdoor ที่เรียกว่า TinyPosh และ TinyNode นอกจากนี้ยังใช้อีเมล Spear phishing ในการหลอกล่อเหยื่อ 

ในเดือนสิงหาคม 2563 ที่ผ่านมา กลุ่ม OldGremlin ได้กำหนดเป้าหมายการโจมตีไปที่บริษัททางการแพทย์ขนาดใหญ่แห่งหนึ่งในรัสเซียด้วยอีเมล Phishing เพื่อทการปล่อย Ransomware เข้าสู่เครือข่ายของบริษัท และเรียกร้องค่าไถ่เป็นจำนวน 50,000 ดอลลาร์

นักวิจัยกล่าวว่า การโจมตีของกลุ่ม OldGremlin เริ่มขึ้นระหว่างปลายเดือนมีนาคมถึงต้นเดือนเมษายน 2563 ซึ่งกลุ่ม OldGremlin ใช้ประโยชน์จากการแพร่ระบาดของ COVID-19 ในการหลอกล่อเหยื่อ โดยส่งคำแนะนำเกี่ยวกับวิธีการจัดสภาพแวดล้อมการทำงานที่ปลอดภัยในช่วงการแพร่ระบาดของเชื้อและการแอบอ้างตนเองเป็นองค์กรที่น่าเชื่อถือ

OldGremlin ยังได้เปลี่ยนอีเมล Spear phishing อยู่ตลอดเวลาเพื่อเลียนแบบองค์กรต่างๆ หากเหยื่อได้ทำการคลิกเข้าไปที่ลิงก์ในอีเมล Trojan TinyPosh จะถูก Download ไปยังคอมพิวเตอร์ของเหยื่อ 

วิธีการป้องกัน

1.ตรวจสอบอีเมลว่าเป็นอีเมลที่น่าเชื่อถือหรือไม่ หากเป็นอีเมลที่น่าสงสัยควรลบอีเมลนั้นทิ้งทันที 

2.ทำการติดตั้งโปรแกรมป้องกันไวรัส, มัลแวร์ และค่อยสแกนคอมพิวเตอร์

3.ไม่ควรเข้าไปในเว็บไซต์หรือรันไฟล์ที่แนบมากับอีเมลที่ไม่น่าเชื่อถือ 

4.มีการสร้างการตระหนักถึงภัยคุกคามทางไซเบอร์ให้กับบุคลากรในองค์กรอย่างสม่ำเสมอ 

IOC of OldGremlin 

Hash MD5 

e47a296bac49284371ac396a053a8488 

2c6a9a38ace198ab62e50ab69920bf42 

306978669ead832f1355468574df1680 

94293275fcc53ad5aca5392f3a5ff87b 

1e54c8bc19dab21e4bd9cfb01a4f5aa5 

fc30e902d1098b7efd85bd2651b2293f 

e0fe009b0b1ae72ba7a5d2127285d086 

f30e4d741018ef81da580ed971048707 

ac27db95366f4e7a7cf77f2988e119c2 

30fdbf2335a9565186689c12090ea2cf 

e1692cc732f52450879a86cb7dcfbccd 

Registry paths: 

HKCU:\Software\Classes\Registered 

HKCU:\\Software\\Microsoft\\Windows\\Security 

IPV4 

136.244.67[.]59 

95.179.252[.]217 

45.61.138[.]170 

5.181.156[.]84 

Malicious Domains 

rbcholding[.]press 

broken-poetry-de86.nscimupf.workers[.]dev 

calm-night-6067.bhrcaoqf.workers[.]dev 

rough-grass-45e9.poecdjusb.workers[.]dev’ 

ksdkpwprtyvbxdobr0.tyvbxdobr0.workers[.]dev’) 

ksdkpwpfrtyvbxdobr1.tiyvbxdobr1.workers[.]dev 

wispy-surf-fabd.bhrcaoqf.workers[.]dev 

noisy-cell-7d07.poecdjusb.workers[.]dev 

wispy-fire-1da3.nscimupf.workers[.]dev 

hello.tyvbxdobr0.workers[.]dev 

curly-sound-d93e.ygrhxogxiogc.workers[.]dev 

old-mud-23cb.tkbizulvc.workers[.]dev 

ที่มา: https://threatpost.com/oldgremlin-russian-ransomware/159479/

Share