Tomiris Backdoor Trojan

Infosec -forskare har upptäckt en ny trojan från bakdörren vid namn Tomiris som kan ha länkar till den ökända NOBELIUM APT -gruppen (Advanced Persistent Threat). Förra året inledde NOBELIUM en attack-supply chain-attack mot det stora amerikanska IT-företaget SolarWinds. Som en del av operationen använde hackarna flera mycket riktade och skräddarsydda hot mot skadlig kod. Tomiris tillskrivning till NOBELIUM har inte bevisats slutgiltigt; hotet delar dock också vissa likheter med Kazuar, en av bakdörrarna kopplade till NOBELIUM APT.

Attackkampanj

De hotfulla operationerna som involverade Tomiris påverkade flera statliga enheter som tillhör ett av OSS -medlemsstaterna. Via DNS -kapning kunde hotaktören omdirigera trafik från officiella statliga postservrar till maskiner under dess kontroll. För besökare utan tillräcklig kunskap kunde urskiljning mellan de falska sidorna och de ursprungliga ha visat sig vara extremt svårt, eftersom de anslöt sig till den välkända webbadressen och kom fram till en säker sida. När de väl omdirigerades till bedragarens sida uppmanades de intet ont anande besökarna att ladda ner en skadad programuppdatering som bär Tomiris bakdörr.

En hotande funktion och likheter med Sunshuttle/GoldMax

Tomiris huvudfunktioner handlar om att etablera sin närvaro på det komprometterade systemet och sedan leverera en nyttolast i nästa steg av ett ännu oidentifierat hot mot skadlig kod. När de analyserade beteendet och den underliggande koden för Tomiris började forskarna märka många likheter med den andra etappen malware Sunshuttle som NOBELIUM använde i SolarWinds-attacken. Dessa inkluderar både hot som skrivs på Go -programmeringsspråket, använder enkla krypterings-/obfuscationsmetoder, fastställer uthållighet via schemalagda uppgifter och använder sömnfördröjningar för att dölja sina påträngande aktiviteter. Dessutom liknar de två hoten varandra på det sätt som deras allmänna handlingsflöde är uppbyggt.