多家俄國企業遭到 OldGremlin 鎖定發動勒贖攻擊
- 發布單位:TWCERT/CC
- 更新日期:2020-09-26
- 點閱次數:2934
資安廠商觀測指出,一個全新的駭侵團體 OldGremlin 開始針對俄國企業,發動勒贖駭侵攻擊,受害者包括金融服務業、製造業和醫療保健業等。
資安廠商 Group-IB 發表研究報告指出,一個全新的駭侵團體 OldGremlin,近來開始針對俄國企業,發動勒贖駭侵攻擊;受害者包括金融服務業、製造業和醫療保健業等。
這個名為 OldGremlin 的全新駭侵團體,典型的攻擊手法是透透 Email 發動魚叉式釣魚攻擊,以和肺炎疫情或媒體採訪邀請有關的主題,誘使受害者開啟含有惡意程式碼或連結的信件,再以自製的 TinyPosh 和 TinyNode 後門程式進行駭侵攻擊。
研究人員發現 OldGremlin 自今年七月起發動第一次攻擊動,對某家俄國醫療業者發動勒贖攻擊,該公司內部網路的資料全遭加密;駭侵者要求五萬美元贖金以解鎖檔案。
到目前為止,Group-IB 至少觀察到 OldGremlin 發動七次釣魚攻擊;該團體時而假冒為自治團體、俄國冶金公司、白俄羅斯曳引機工廠、牙醫診所、媒體等不同身分,向目標發送主題諸如「即將到期帳單」之類的郵件,並夾帶含有 TinyPosh 或 TinyNode 惡意軟體的檔案。
Group-IB 指出,該團體使用的惡意軟體開始執行後的 20 秒左右,就會觸發 Windows Defender 的反應,並且自動刪除惡意軟體;但這 20 秒已經足夠讓惡意程式碼常駐在系統中,並且下載其他惡意軟體,用戶反而因為這樣而不會意識到電腦遭駭。