Лицензи за множество устройства (Отстъпки за количество)

Промяна на региона

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe български език Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database Backdoors Tomiris Backdoor троянец

Tomiris Backdoor троянец

До Mezo през Backdoors, Trojansг
Превод на:
български език

Изследователите на Infosec откриха нов троянец на задната врата на име Tomiris, който може да има връзки към скандалната група NOBELIUM APT (Advanced Persistent Threat). Миналата година NOBELIUM започна атака по веригата на доставки срещу голямата американска IT компания SolarWinds. Като част от операцията, хакерите използваха множество силно насочени и персонализирани заплахи за злонамерен софтуер. Приписването на Томирис на NOBELIUM не е доказано окончателно; заплахата обаче споделя някои прилики с Kazuar, един от задните врати, свързан с NOBELIUM APT.

Кампания за атака

Заплашващите операции с участието на Томирис засегнаха множество правителствени структури, принадлежащи към една от страните членки на ОНД. Чрез отвличане на DNS, актьорът на заплахата успя да пренасочи трафика от официалните държавни пощенски сървъри към машини под негов контрол. За посетители без достатъчно познания различаването между фалшивите страници и оригиналните може да се окаже изключително трудно, тъй като те се свързваха с познатия URL адрес и стигнаха до защитена страница. След като бяха пренасочени към страницата на измамника, нищо неподозиращите посетители бяха призовани да изтеглят повредена актуализация на софтуера, носеща задната врата на Tomiris.

Заплашваща функционалност и прилики със Sunshuttle/GoldMax

Основните функции на Tomiris включват установяване на присъствието му в компрометираната система и след това доставяне на полезен товар от следващ етап на все още неидентифицирана заплаха от злонамерен софтуер. Докато анализираха поведението и основния код на Tomiris, изследователите започнаха да забелязват много прилики с втория етап злонамерен софтуер Sunshuttle, който NOBELIUM използва в атаката на SolarWinds. Те включват и двете заплахи, които са написани на езика за програмиране Go, като се използват единични методи за криптиране/затъмняване, установяване на постоянство чрез планирани задачи и използване на забавяне на съня, за да се скрият натрапчивите им дейности. Освен това двете заплахи също си приличат по начина, по който е структуриран общият им поток от действия.

Тенденция

Най-гледан

Зареждане...