Tomiris Backdoor Trojan

Infosec -forskere har opdaget en ny trojansk bagdør ved navn Tomiris, der muligvis har links til den berygtede NOBELIUM APT -gruppe (Advanced Persistent Threat). Sidste år lancerede NOBELIUM et forsyningskædeangreb mod det store amerikanske it-firma SolarWinds. Som en del af operationen brugte hackerne flere meget målrettede og specialfremstillede malware-trusler. Tomiris 'tilskrivning til NOBELIUM er ikke bevist endegyldigt; truslen deler imidlertid også visse ligheder med Kazuar, en af bagdørene, der er knyttet til NOBELIUM APT.

Angrebskampagne

De truende operationer, der involverede Tomiris, berørte flere regeringsenheder, der tilhører et af SNG -medlemsstaterne. Via DNS -kapring var trusselsaktøren i stand til at omdirigere trafik fra officielle offentlige mailservere til maskiner under dens kontrol. For besøgende uden tilstrækkelig viden kunne det være meget vanskeligt at skelne mellem de falske sider og de originale sider, da de forbandt til den velkendte URL og nåede frem til en sikker side. Da de blev omdirigeret til bedragerens side, blev de intetanende besøgende opfordret til at downloade en beskadiget softwareopdatering, der bærer Tomiris -bagdøren.

En truende funktionalitet og ligheder med Sunshuttle/GoldMax

Tomiris 'hovedfunktioner drejer sig om at etablere sin tilstedeværelse på det kompromitterede system og derefter levere en næste trin nyttelast af en endnu uidentificeret malware-trussel. Mens de analyserede adfærd og underliggende kode for Tomiris, begyndte forskerne at lægge mærke til mange ligheder med den anden fase malware Sunshuttle, som NOBELIUM brugte i SolarWinds-angrebet. Disse inkluderer både trusler, der skrives på Go -programmeringssproget, ved hjælp af enkelt krypterings-/tilsløringsmetoder, etablering af vedholdenhed via planlagte opgaver og brug af søvnforsinkelser til at skjule deres påtrængende aktiviteter. Derudover ligner de to trusler også hinanden i måden, hvorpå deres generelle handlingsforløb er struktureret.