OldGremlin อาศัย Tools มากมาย รวมไปถึง backdoor
กลุ่มอาชญากรไซเบอร์กลุ่มใหม่ที่เรียกว่า OldGremlin กำหนดเป้าหมายการโจมตีไปยังบริษัทต่างๆในประเทศรัสเซียรวมถึงธนาคารและบริษัททางการแพทย์
OldGremlin อาศัย Tools มากมาย รวมไปถึง backdoor ที่เรียกว่า TinyPosh และ TinyNode นอกจากนี้ยังใช้อีเมล Spear phishing ในการหลอกล่อเหยื่อ
ในเดือนสิงหาคม 2563 ที่ผ่านมา กลุ่ม OldGremlin ได้กำหนดเป้าหมายการโจมตีไปที่บริษัททางการแพทย์ขนาดใหญ่แห่งหนึ่งในรัสเซียด้วยอีเมล Phishing เพื่อทำการปล่อย Ransomware เข้าสู่เครือข่ายของบริษัท และเรียกร้องค่าไถ่เป็นจำนวน 50,000 ดอลลาร์
นักวิจัยกล่าวว่า การโจมตีของกลุ่ม OldGremlin เริ่มขึ้นระหว่างปลายเดือนมีนาคมถึงต้นเดือนเมษายน 2563 ซึ่งกลุ่ม OldGremlin ใช้ประโยชน์จากการแพร่ระบาดของ COVID-19 ในการหลอกล่อเหยื่อ โดยส่งคำแนะนำเกี่ยวกับวิธีการจัดสภาพแวดล้อมการทำงานที่ปลอดภัยในช่วงการแพร่ระบาดของเชื้อและการแอบอ้างตนเองเป็นองค์กรที่น่าเชื่อถือ
OldGremlin ยังได้เปลี่ยนอีเมล Spear phishing อยู่ตลอดเวลาเพื่อเลียนแบบองค์กรต่างๆ หากเหยื่อได้ทำการคลิกเข้าไปที่ลิงก์ในอีเมล Trojan TinyPosh จะถูก Download ไปยังคอมพิวเตอร์ของเหยื่อ
วิธีการป้องกัน
1.ตรวจสอบอีเมลว่าเป็นอีเมลที่น่าเชื่อถือหรือไม่ หากเป็นอีเมลที่น่าสงสัยควรลบอีเมลนั้นทิ้งทันที
2.ทำการติดตั้งโปรแกรมป้องกันไวรัส, มัลแวร์ และค่อยสแกนคอมพิวเตอร์
3.ไม่ควรเข้าไปในเว็บไซต์หรือรันไฟล์ที่แนบมากับอีเมลที่ไม่น่าเชื่อถือ
4.มีการสร้างการตระหนักถึงภัยคุกคามทางไซเบอร์ให้กับบุคลากรในองค์กรอย่างสม่ำเสมอ
IOC of OldGremlin
Hash MD5
e47a296bac49284371ac396a053a8488
2c6a9a38ace198ab62e50ab69920bf42
306978669ead832f1355468574df1680
94293275fcc53ad5aca5392f3a5ff87b
1e54c8bc19dab21e4bd9cfb01a4f5aa5
fc30e902d1098b7efd85bd2651b2293f
e0fe009b0b1ae72ba7a5d2127285d086
f30e4d741018ef81da580ed971048707
ac27db95366f4e7a7cf77f2988e119c2
30fdbf2335a9565186689c12090ea2cf
e1692cc732f52450879a86cb7dcfbccd
Registry paths:
HKCU:\Software\Classes\Registered
HKCU:\\Software\\Microsoft\\Windows\\Security
IPV4
136.244.67[.]59
95.179.252[.]217
45.61.138[.]170
5.181.156[.]84
Malicious Domains
rbcholding[.]press
broken-poetry-de86.nscimupf.workers[.]dev
calm-night-6067.bhrcaoqf.workers[.]dev
rough-grass-45e9.poecdjusb.workers[.]dev’
ksdkpwprtyvbxdobr0.tyvbxdobr0.workers[.]dev’)
ksdkpwpfrtyvbxdobr1.tiyvbxdobr1.workers[.]dev
wispy-surf-fabd.bhrcaoqf.workers[.]dev
noisy-cell-7d07.poecdjusb.workers[.]dev
wispy-fire-1da3.nscimupf.workers[.]dev
hello.tyvbxdobr0.workers[.]dev
curly-sound-d93e.ygrhxogxiogc.workers[.]dev
old-mud-23cb.tkbizulvc.workers[.]dev
ที่มา: https://threatpost.com/oldgremlin-russian-ransomware/159479/