Tomiris Backdoor Trojan

Os pesquisadores de Infosec descobriram um novo Trojan backdoor chamado Tomiris, que pode ser relacionado ao grupo NOBELIUM APT (Advanced Persistent Threat). No ano passado, o NOBELIUM lançou um ataque à cadeia de suprimentos contra a principal empresa de TI dos EUA, SolarWinds. Como parte da operação, os hackers usaram várias ameaças de malware altamente direcionadas e personalizadas. A atribuição do Tomiris ao NOBELIUM não foi provada de forma conclusiva; no entanto, a ameaça também compartilha certas semelhanças com o Kazuar, um dos backdoors vinculados ao NOBELIUM APT.

A Campanha de Ataque

As operações ameaçadoras envolvendo o Tomiris afetaram várias entidades governamentais pertencentes a um dos estados membros do CEI. Por meio do sequestro de DNS, o agente da ameaça conseguiu redirecionar o tráfego dos servidores do correio oficial do governo para as máquinas sob seu controle. Para visitantes sem conhecimento suficiente, discernir entre as páginas falsas e as originais pode ser extremamente difícil, pois eles se conectam ao URL familiar e chegaram a uma página segura. Uma vez redirecionados para a página do impostor, os visitantes desavisados eram instados a baixar uma atualização de software corrompida que carregava o backdoor do Tomiris.

Uma Funcionalidade Ameaçadora e Semelhanças com o Sunshuttle/GoldMax

As principais funções do Tomiris dizem respeito ao estabelecimento da sua presença no sistema comprometido e, em seguida, fornecer uma carga útil de estágio seguinte de uma ameaça de malware ainda não identificada. Ao analisar o comportamento e o código subjacente do Tomiris, os pesquisadores começaram a notar muitas semelhanças com o malware Sunshuttle de segundo estágio, que o NOBELIUM usou no ataque SolarWinds. Isso inclui ambas as ameaças sendo escritas na linguagem de programação Go, usando métodos únicos de criptografia/ofuscação, estabelecendo persistência por meio de tarefas agendadas e usando atrasos nas tarefas agendadas para ocultar suas atividades intrusivas. Além disso, as duas ameaças também se assemelham na forma como  seu fluxo de ação geral é estruturado.