Tomiris Backdoor Trojan
Infosecの研究者は、悪名高いNOBELIUM APT(Advanced Persistent Threat)グループにリンクしている可能性のあるTomirisという名前の新しいバックドア型トロイの木馬を発見しました。昨年、NOBELIUMは米国の大手IT企業SolarWindsに対してサプライチェーン攻撃を開始しました。操作の一部として、ハッカーは複数の高度にターゲットを絞ったカスタムメイドのマルウェアの脅威を使用しました。トミュリスのノーベリウムへの帰属は決定的に証明されていません。ただし、この脅威は、NOBELIUMAPTにリンクされているバックドアの1つであるKazuarとも特定の類似点を共有しています。
攻撃キャンペーン
トミュリスが関与する脅迫的な作戦は、CIS加盟国の1つに属する複数の政府機関に影響を及ぼしました。 DNSハイジャックを介して、攻撃者は公式の政府のメールサーバーからその制御下にあるマシンにトラフィックをリダイレクトすることができました。十分な知識のない訪問者にとって、偽のページと元のページを区別することは、見慣れたURLに接続して安全なページに到達するため、非常に困難であることが判明した可能性があります。詐欺師のページにリダイレクトされると、疑いを持たない訪問者は、Tomirisバックドアを搭載した破損したソフトウェアアップデートをダウンロードするように促されました。
脅威となる機能とSunshuttle / GoldMaxとの類似点
Tomirisの主な機能は、侵害されたシステム上での存在を確立し、まだ特定されていないマルウェアの脅威の次の段階のペイロードを配信することです。トミュリスの動作と基礎となるコードを分析している間、研究者たちは、NOBELIUMがSolarWinds攻撃で使用した第2段階のマルウェアSunshuttleとの多くの類似点に気づき始めました。これには、Goプログラミング言語で記述された脅威、単一の暗号化/難読化方法の使用、スケジュールされたタスクによる永続性の確立、および侵入アクティビティを隠すためのスリープ遅延の使用の両方が含まれます。さらに、2つの脅威は、一般的なアクションフローの構造が互いに似ています。
