Tomiris Backdoor Trojan

I ricercatori di Infosec hanno scoperto un nuovo Trojan backdoor chiamato Tomiris che potrebbe avere collegamenti al famigerato gruppo NOBELIUM APT (Advanced Persistent Threat). L'anno scorso, NOBELIUM ha lanciato un attacco alla catena di approvvigionamento contro la principale azienda IT statunitense SolarWinds. Come parte dell'operazione, gli hacker hanno utilizzato più minacce malware altamente mirate e personalizzate. L'attribuzione di Tomiris a NOBELIUM non è stata dimostrata in modo conclusivo; tuttavia, la minaccia condivide anche alcune somiglianze con Kazuar, una delle backdoor legate al NOBELIUM APT.

Campagna di attacco

Le operazioni minacciose che hanno coinvolto Tomiris hanno interessato più entità governative appartenenti a uno degli stati membri della CSI. Tramite il dirottamento DNS, l'autore delle minacce è stato in grado di reindirizzare il traffico dai server di posta ufficiali del governo alle macchine sotto il suo controllo. Per i visitatori senza una conoscenza sufficiente, discernere tra le pagine false e quelle originali avrebbe potuto rivelarsi estremamente difficile, poiché si collegavano all'URL familiare e arrivavano a una pagina sicura. Una volta reindirizzati alla pagina dell'impostore, gli ignari visitatori sono stati invitati a scaricare un aggiornamento software corrotto contenente la backdoor di Tomiris.

Una funzionalità minacciosa e somiglianze con Sunshuttle/GoldMax

Le funzioni principali di Tomiris riguardano stabilire la sua presenza sul sistema compromesso e quindi fornire un payload di fase successiva di una minaccia malware non ancora identificata. Durante l'analisi del comportamento e del codice sottostante di Tomiris, i ricercatori hanno iniziato a notare molte somiglianze con il malware di secondo stadio Sunshuttle utilizzato da NOBELIUM nell'attacco SolarWinds. Questi includono entrambe le minacce scritte nel linguaggio di programmazione Go, utilizzando singoli metodi di crittografia/offuscamento, stabilendo la persistenza tramite attività pianificate e utilizzando i ritardi del sonno per nascondere le loro attività intrusive. Inoltre, le due minacce si assomigliano anche nel modo in cui è strutturato il loro flusso di azione generale.