Tomiris 백도어 트로이 목마

Infosec 연구원들은 악명 높은 NOBELIUM APT(Advanced Persistent Threat) 그룹에 대한 링크가 있을 수 있는 Tomiris라는 새로운 백도어 트로이 목마를 발견했습니다. 작년에 NOBELIUM은 미국의 주요 IT 회사인 SolarWinds에 대한 공급망 공격을 시작했습니다. 해커는 작업의 일부로 고도로 표적화된 맞춤형 악성코드 위협을 여러 개 사용했습니다. NOBELIUM에 대한 Tomiris의 귀속은 결정적으로 입증되지 않았습니다. 그러나 위협은 또한 NOBELIUM APT에 연결된 백도어 중 하나인 Kazuar 와 특정 유사점을 공유합니다.

공격 캠페인

Tomiris와 관련된 위협적인 작전은 CIS 회원국 중 하나에 속한 여러 정부 기관에 영향을 미쳤습니다. DNS 하이재킹을 통해 위협 행위자는 공식 정부 메일 서버에서 자신이 제어하는 시스템으로 트래픽을 리디렉션할 수 있었습니다. 정보가 충분하지 않은 방문자의 경우 익숙한 URL에 연결하여 보안 페이지에 도달하기 때문에 가짜 페이지와 원본 페이지를 구별하는 것이 매우 어려울 수 있습니다. 사기꾼 페이지로 리디렉션되면 순진한 방문자에게 Tomiris 백도어를 포함하는 손상된 소프트웨어 업데이트를 다운로드하도록 촉구되었습니다.

Sunshuttle/GoldMax의 위협적인 기능 및 유사성

Tomiris의 주요 기능은 손상된 시스템에 존재를 설정한 다음 아직 확인되지 않은 멀웨어 위협의 다음 단계 페이로드를 전달하는 것입니다. Tomiris의 동작과 기본 코드를 분석하는 동안 연구원들은 NOBELIUM이 SolarWinds 공격에 사용한 2단계 멀웨어 Sunshuttle과 많은 유사점을 발견하기 시작했습니다. 여기에는 단일 암호화/난독화 방법을 사용하여 Go 프로그래밍 언어로 작성되는 위협, 예약된 작업을 통해 지속성 설정, 잠자기 지연을 사용하여 침입 활동을 숨기는 두 가지 위협이 모두 포함됩니다. 또한 두 위협은 일반적인 작업 흐름이 구성되는 방식에서도 서로 유사합니다.