• 發布單位:TWCERT/CC
• 更新日期:2020-09-26
• 點閱次數:3076

資安廠商觀測指出，一個全新的駭侵團體 OldGremlin 開始針對俄國企業，發動勒贖駭侵攻擊，受害者包括金融服務業、製造業和醫療保健業等。

資安廠商 Group-IB 發表研究報告指出，一個全新的駭侵團體 OldGremlin，近來開始針對俄國企業，發動勒贖駭侵攻擊；受害者包括金融服務業、製造業和醫療保健業等。

這個名為 OldGremlin 的全新駭侵團體，典型的攻擊手法是透透 Email 發動魚叉式釣魚攻擊，以和肺炎疫情或媒體採訪邀請有關的主題，誘使受害者開啟含有惡意程式碼或連結的信件，再以自製的 TinyPosh 和 TinyNode 後門程式進行駭侵攻擊。

研究人員發現 OldGremlin 自今年七月起發動第一次攻擊動，對某家俄國醫療業者發動勒贖攻擊，該公司內部網路的資料全遭加密；駭侵者要求五萬美元贖金以解鎖檔案。

到目前為止，Group-IB 至少觀察到 OldGremlin 發動七次釣魚攻擊；該團體時而假冒為自治團體、俄國冶金公司、白俄羅斯曳引機工廠、牙醫診所、媒體等不同身分，向目標發送主題諸如「即將到期帳單」之類的郵件，並夾帶含有 TinyPosh 或 TinyNode 惡意軟體的檔案。

Group-IB 指出，該團體使用的惡意軟體開始執行後的 20 秒左右，就會觸發 Windows Defender 的反應，並且自動刪除惡意軟體；但這 20 秒已經足夠讓惡意程式碼常駐在系統中，並且下載其他惡意軟體，用戶反而因為這樣而不會意識到電腦遭駭。