Tomiris Backdoor Trojan
信息安全研究人員發現了一種名為 Tomiris 的新後門木馬,它可能與臭名昭著的 NOBELIUM APT(高級持續威脅)組織有關。去年,NOBELIUM 對美國主要 IT 公司 SolarWinds 發起了供應鏈攻擊。作為行動的一部分,黑客使用了多個高度針對性和定制的惡意軟件威脅。 Tomiris"歸屬地锘尚未最終證明;然而,該威脅與與 NOBELIUM APT 相關的後門之一Kazuar 也有某些相似之處。
攻擊運動
涉及托米里斯的威脅行動影響了屬於獨聯體成員國之一的多個政府實體。通過 DNS 劫持,攻擊者能夠將流量從官方政府郵件服務器重定向到其控制下的機器。對於沒有足夠知識的訪問者來說,辨別假頁面和原始頁面可能極其困難,因為他們正在連接到熟悉的 URL 並到達一個安全的頁面。一旦重定向到冒名頂替者頁面,毫無戒心的訪問者就會被敦促下載帶有 Tomiris 後門的損壞的軟件更新。
與 Sunshuttle/GoldMax 具有威脅性的功能和相似之處
Tomiris 的主要功能涉及在受感染的系統上建立其存在,然後交付尚未識別的惡意軟件威脅的下一階段有效負載。在分析 Tomiris 的行為和底層代碼時,研究人員開始注意到與 NOBELIUM 在 SolarWinds 攻擊中使用的第二階段惡意軟件 Sunshuttle 有很多相似之處。這包括使用 Go 編程語言編寫的威脅、使用單一加密/混淆方法、通過計劃任務建立持久性以及使用睡眠延遲來隱藏其侵入性活動。此外,這兩種威脅在其一般操作流程的結構方式上也很相似。
