Tomiris Backdoor Trojan

Infosec-onderzoekers hebben een nieuwe backdoor-trojan genaamd Tomiris ontdekt die mogelijk banden heeft met de beruchte NOBELIUM APT-groep (Advanced Persistent Threat). Vorig jaar lanceerde NOBELIUM een supply chain-aanval op het grote Amerikaanse IT-bedrijf SolarWinds. Als onderdeel van de operatie gebruikten de hackers meerdere zeer gerichte en op maat gemaakte malwarebedreigingen. De toeschrijving van Tomiris aan NOBELIUM is niet onomstotelijk bewezen; de dreiging vertoont echter ook bepaalde overeenkomsten met Kazuar, een van de achterdeurtjes die zijn gekoppeld aan de NOBELIUM APT.

Aanvalscampagne

De dreigende operaties waarbij Tomiris betrokken was, troffen meerdere overheidsinstanties die tot een van de GOS-lidstaten behoorden. Via DNS-kaping was de dreigingsactor in staat om verkeer van officiële mailservers van de overheid om te leiden naar machines onder zijn controle. Voor bezoekers zonder voldoende kennis, kan het onderscheid tussen de neppagina's en de originele erg moeilijk zijn gebleken, omdat ze verbinding maakten met de bekende URL en op een beveiligde pagina terechtkwamen. Eenmaal doorgestuurd naar de bedriegerpagina, werden de nietsvermoedende bezoekers aangespoord om een beschadigde software-update te downloaden die de Tomiris-achterdeur bevatte.

Een dreigende functionaliteit en overeenkomsten met Sunshuttle/GoldMax

De belangrijkste functies van Tomiris zijn het vaststellen van zijn aanwezigheid op het gecompromitteerde systeem en het vervolgens leveren van een volgende fase van een nog niet-geïdentificeerde malwarebedreiging. Bij het analyseren van het gedrag en de onderliggende code van Tomiris begonnen de onderzoekers veel overeenkomsten te zien met de tweede-traps-malware Sunshuttle die NOBELIUM gebruikte bij de SolarWinds-aanval. Deze omvatten zowel bedreigingen die zijn geschreven in de Go-programmeertaal, het gebruik van enkele coderings-/verduisteringsmethoden, het vaststellen van persistentie via geplande taken en het gebruik van slaapvertragingen om hun opdringerige activiteiten te verbergen. Bovendien lijken de twee bedreigingen ook op elkaar in de manier waarop hun algemene actiestroom is gestructureerd.