Tomiris Backdoor Trojan
信息安全研究人员发现了一种名为 Tomiris 的新后门木马,它可能与臭名昭著的 NOBELIUM APT(高级持续威胁)组织有关。去年,NOBELIUM 对美国主要 IT 公司 SolarWinds 发起了供应链攻击。作为行动的一部分,黑客使用了多个高度针对性和定制的恶意软件威胁。 Tomiris'归属地锘尚未最终证明;然而,该威胁与与 NOBELIUM APT 相关的后门之一Kazuar 也有某些相似之处。
攻击运动
涉及托米里斯的威胁行动影响了属于独联体成员国之一的多个政府实体。通过 DNS 劫持,攻击者能够将流量从官方政府邮件服务器重定向到其控制下的机器。对于没有足够知识的访问者来说,辨别假页面和原始页面可能极其困难,因为他们正在连接到熟悉的 URL 并到达一个安全的页面。一旦重定向到冒名顶替者页面,毫无戒心的访问者就会被敦促下载带有 Tomiris 后门的损坏的软件更新。
与 Sunshuttle/GoldMax 具有威胁性的功能和相似之处
Tomiris 的主要功能涉及在受感染的系统上建立其存在,然后交付尚未识别的恶意软件威胁的下一阶段有效负载。在分析 Tomiris 的行为和底层代码时,研究人员开始注意到与 NOBELIUM 在 SolarWinds 攻击中使用的第二阶段恶意软件 Sunshuttle 有很多相似之处。其中包括用 Go 编程语言编写的威胁、使用单一加密/混淆方法、通过计划任务建立持久性以及使用睡眠延迟来隐藏其侵入性活动。此外,这两种威胁在其一般操作流程的结构方式上也很相似。
