Tomiris Backdoor Trojan

Do Mezo w Backdoors, Trojans

Przetłumacz na:

Badacze Infosec odkryli nowego trojana typu backdoor o nazwie Tomiris, który może mieć linki do niesławnej grupy NOBELIUM APT (Advanced Persistent Threat). W ubiegłym roku NOBELIUM przeprowadziło atak łańcucha dostaw na główną amerykańską firmę informatyczną SolarWinds. W ramach operacji hakerzy wykorzystali wiele wysoce ukierunkowanych i niestandardowych zagrożeń złośliwym oprogramowaniem. Przypisanie Tomirisa do NOBELIUM nie zostało udowodnione jednoznacznie; jednak zagrożenie ma również pewne podobieństwa z Kazuar, jednym z tylnych drzwi powiązanych z APT NOBELIUM.

Kampania ataku

Zagrażające operacje z udziałem Tomirisa dotknęły wiele jednostek rządowych należących do jednego z państw członkowskich WNP. Dzięki przejęciu DNS podmiot zajmujący się zagrożeniem był w stanie przekierować ruch z oficjalnych rządowych serwerów pocztowych do maszyn pod jego kontrolą. Dla odwiedzających bez wystarczającej wiedzy odróżnienie stron fałszywych od oryginalnych mogło okazać się niezwykle trudne, ponieważ łączyli się ze znanym adresem URL i docierali na bezpieczną stronę. Po przekierowaniu na stronę oszusta niczego niepodejrzewający odwiedzający zostali wezwani do pobrania uszkodzonej aktualizacji oprogramowania zawierającej backdoora Tomiris.

Groźna funkcjonalność i podobieństwa do Sunshuttle/GoldMax

Główne funkcje Tomirisa dotyczą ustalenia jego obecności w zaatakowanym systemie, a następnie dostarczenia kolejnego etapu ładunku niezidentyfikowanego jeszcze zagrożenia złośliwym oprogramowaniem. Analizując zachowanie i leżący u jego podstaw kod Tomiris, naukowcy zaczęli zauważać wiele podobieństw do szkodliwego oprogramowania drugiego etapu, Sunshuttle, którego NOBELIUM użył w ataku na SolarWinds. Obejmują one oba zagrożenia napisane w języku programowania Go, przy użyciu pojedynczych metod szyfrowania/zaciemniania, ustanawiania trwałości za pomocą zaplanowanych zadań oraz używania opóźnień uśpienia w celu ukrycia ich natrętnych działań. Ponadto oba zagrożenia przypominają się nawzajem pod względem struktury ogólnego przepływu działań.

Szukaj

Zmieniać region

Tomiris Backdoor Trojan

Kampania ataku

Groźna funkcjonalność i podobieństwa do Sunshuttle/GoldMax

Prześlij komentarz

Popularne

Safe Search Eng

MarioLocker Ransomware

Moja tapeta

Najczęściej oglądane

Czy Lookmovie.io jest bezpieczny?

Jak naprawić błąd „Sterownik drukarki jest niedostępny”

Discord pokazuje czarny ekran podczas udostępniania...