Tomiris Backdoor Trojan
इन्फोसेक के शोधकर्ताओं ने टोमिरिस नाम के एक नए पिछले दरवाजे वाले ट्रोजन की खोज की है, जिसके कुख्यात NOBELIUM APT (एडवांस पर्सिस्टेंट थ्रेट) समूह के लिंक हो सकते हैं। पिछले साल, NOBELIUM ने प्रमुख अमेरिकी आईटी फर्म SolarWinds के खिलाफ आपूर्ति-श्रृंखला पर हमला किया। ऑपरेशन के हिस्से के रूप में, हैकर्स ने कई अत्यधिक लक्षित और कस्टम-निर्मित मैलवेयर खतरों का उपयोग किया। नोबेलियम के लिए Tomiris का श्रेय निर्णायक रूप से सिद्ध नहीं हुआ है; हालाँकि, यह खतरा काज़ुअर के साथ कुछ समानताएँ भी साझा करता है, जो NOBELIUM APT से जुड़े पिछले दरवाजों में से एक है।
हमला अभियान
टोमिरिस से जुड़े धमकी भरे ऑपरेशनों ने सीआईएस सदस्य राज्यों में से एक से संबंधित कई सरकारी संस्थाओं को प्रभावित किया। डीएनएस अपहरण के माध्यम से, धमकी देने वाला अभिनेता आधिकारिक सरकारी मेल सर्वर से अपने नियंत्रण वाली मशीनों पर यातायात को पुनर्निर्देशित करने में सक्षम था। बिना पर्याप्त जानकारी वाले विज़िटर्स के लिए, नकली पेजों और असली पेजों के बीच अंतर करना बेहद मुश्किल साबित हो सकता था, क्योंकि वे परिचित यूआरएल से जुड़ रहे थे और एक सुरक्षित पेज पर पहुंच गए थे। एक बार धोखेबाज पृष्ठ पर पुनर्निर्देशित होने के बाद, पहले से न सोचा आगंतुकों को टोमिरिस पिछले दरवाजे से एक दूषित सॉफ़्टवेयर अपडेट डाउनलोड करने का आग्रह किया गया था।
सनशटल/गोल्डमैक्स के लिए एक खतरनाक कार्यक्षमता और समानताएं
टोमिरिस चिंता के मुख्य कार्य समझौता प्रणाली पर अपनी उपस्थिति स्थापित करना और फिर एक अज्ञात मैलवेयर खतरे के अगले चरण के पेलोड को वितरित करना है। टोमिरिस के व्यवहार और अंतर्निहित कोड का विश्लेषण करते समय, शोधकर्ताओं ने दूसरे चरण के मैलवेयर सनशटल के साथ बहुत सी समानताएं देखना शुरू कर दिया, जिसका इस्तेमाल NOBELIUM ने SolarWinds हमले में किया था। इनमें गो प्रोग्रामिंग भाषा में लिखे जाने वाले दोनों खतरे, एकल एन्क्रिप्शन/आक्षेप विधियों का उपयोग करना, निर्धारित कार्यों के माध्यम से दृढ़ता स्थापित करना, और अपनी घुसपैठ गतिविधियों को छिपाने के लिए नींद में देरी का उपयोग करना शामिल है। इसके अलावा, दोनों खतरे भी एक दूसरे से मिलते-जुलते हैं जिस तरह से उनके सामान्य क्रिया प्रवाह को संरचित किया जाता है।
