Tomiris Backdoor троян

Исследователи Infosec обнаружили новый троян-бэкдор по имени Tomiris, который может иметь ссылки на печально известную группу NOBELIUM APT (Advanced Persistent Threat). В прошлом году NOBELIUM начал атаку цепочки поставок на крупную американскую ИТ-компанию SolarWinds. В рамках операции хакеры использовали несколько узконаправленных и специально созданных вредоносных программ. Принадлежность Томириса к NOBELIUM окончательно не доказана; однако эта угроза также имеет определенное сходство с Kazuar, одним из бэкдоров, связанных с NOBELIUM APT.

Кампания атаки

Угрожающие операции с участием Томириса затронули несколько государственных структур, принадлежащих одной из стран-участниц СНГ. С помощью перехвата DNS злоумышленник смог перенаправить трафик с официальных правительственных почтовых серверов на машины, находящиеся под его контролем. Для посетителей, не обладающих достаточными знаниями, отличить поддельные страницы от исходных могло оказаться чрезвычайно сложно, поскольку они подключались к знакомому URL-адресу и попадали на безопасную страницу. После перенаправления на страницу самозванца ничего не подозревающих посетителей убедили загрузить поврежденное обновление программного обеспечения, содержащее бэкдор Tomiris.

Угрожающая функциональность и сходство с Sunshuttle / GoldMax

Основные функции Tomiris связаны с установлением своего присутствия в скомпрометированной системе и последующей доставкой полезной нагрузки еще не идентифицированного вредоносного ПО. Анализируя поведение и базовый код Tomiris, исследователи начали замечать много общего с вредоносным ПО второго уровня Sunshuttle, которое NOBELIUM использовал в атаке SolarWinds. К ним относятся обе угрозы, написанные на языке программирования Go с использованием единых методов шифрования / обфускации, установление устойчивости с помощью запланированных задач и использование задержек сна, чтобы скрыть свои навязчивые действия. Кроме того, две угрозы также похожи друг на друга в том, как структурирован их общий поток действий.