Tomiris Backdoor Trojan
Infosec araştırmacıları, kötü şöhretli NOBELIUM APT (Gelişmiş Kalıcı Tehdit) grubuyla bağlantıları olabilecek Tomiris adında yeni bir arka kapı Truva atı keşfettiler. Geçen yıl NOBELIUM, büyük ABD bilişim şirketi SolarWinds'e karşı bir tedarik zinciri saldırısı başlattı. Operasyonun bir parçası olarak, bilgisayar korsanları çok sayıda yüksek düzeyde hedeflenmiş ve özel yapım kötü amaçlı yazılım tehdidi kullandı. Tomiris'in NOBELIUM'a atfı kesin olarak kanıtlanmamıştır; ancak tehdit aynı zamanda NOBELIUM APT ile bağlantılı arka kapılardan biri olan Kazuar ile de bazı benzerlikler paylaşıyor.
Saldırı Kampanyası
Tomiris'i içeren tehdit edici operasyonlar, BDT üye devletlerinden birine ait birden fazla devlet kurumunu etkiledi. Tehdit aktörü, DNS ele geçirme yoluyla trafiği resmi devlet posta sunucularından kontrolü altındaki makinelere yönlendirebildi. Yeterli bilgiye sahip olmayan ziyaretçiler için, tanıdık URL'ye bağlanıp güvenli bir sayfaya ulaştıklarından, sahte sayfalar ile orijinal sayfalar arasında ayrım yapmak son derece zor olabilirdi. Sahtekarlık sayfasına yönlendirildikten sonra, şüphelenmeyen ziyaretçilerden Tomiris arka kapısını taşıyan bozuk bir yazılım güncellemesini indirmeleri istendi.
Sunshuttle/GoldMax'e Tehdit Eden Bir İşlevsellik ve Benzerlikler
Tomiris'in ana işlevleri, güvenliği ihlal edilmiş sistemde varlığını kurmak ve ardından henüz tanımlanamayan bir kötü amaçlı yazılım tehdidinin bir sonraki aşama yükünü teslim etmekle ilgilidir. Araştırmacılar, Tomiris'in davranışını ve altında yatan kodu analiz ederken, NOBELIUM'un SolarWinds saldırısında kullandığı ikinci aşama kötü amaçlı yazılım Sunshuttle ile birçok benzerlik fark etmeye başladılar. Bunlar, tehditlerin Go programlama dilinde yazılmasını, tek şifreleme/gizleme yöntemlerinin kullanılmasını, zamanlanmış görevler aracılığıyla kalıcılık sağlanmasını ve müdahaleci etkinliklerini gizlemek için uyku gecikmelerinin kullanılmasını içerir. Ek olarak, iki tehdit de genel eylem akışlarının yapılandırılma şekliyle birbirine benzemektedir.
