Новый бэкдор Tomiris может быть связан с группировкой Nobelium
30 сентября 2021 года
Исследователи в области кибербезопасности из «Лаборатории Касперского» обнаружили бэкдор, предположительно связанный с киберпреступной группировкой Nobelium, ответственной за прошлогоднюю атаку на цепочку поставок SolarWinds.
Первые образцы вредоносного ПО под названием Tomiris были обнаружены в феврале 2021 года, за месяц до того, как FireEye обнаружила и связала с Nobelium «сложный бэкдор второго уровня» Sunshuttle.
Tomiris был обнаружен при расследовании серии атак с перехватом DNS-запросов, нацеленных на несколько правительственных структур одного из государств СНГ в период с декабря 2020 года по январь 2021 года. Атаки позволили злоумышленникам перенаправить трафик с государственных почтовых серверов на свои устройства.
Преступники перенаправляли жертв на страницы входа в систему web-почты, похищали их учетные данные электронной почты и, в некоторых случаях, предлагали установить обновление ПО, которое вместо этого загружало бэкдор Tomiris.
По словам экспертов, взломы были по большей части относительно кратковременными и в первую очередь были нацелены на почтовые серверы затронутых организаций.
«Мы не знаем, как злоумышленники смогли этого добиться, но мы предполагаем, что они каким-то образом получили учетные данные для панели управления регистратора, используемого жертвами», — отметили специалисты.
После установки Tomiris будет многократно запрашивать C&C-сервер для установки дальнейших полезных нагрузок на скомпрометированном устройстве, позволяя операторам вредоноса обеспечить себе персистентность.
Другой вариант может похищать документы из скомпрометированных систем, автоматически загружая последние файлы, соответствующие интересующим расширениям, включая.doc,.docx,.pdf,.rar и пр.
Эксперты обнаружили много общего между бэкдорами Tomiris и Sunshuttle. Например, оба вредоноса разработаны на языке Go, обеспечивают персистентность через запланированные задачи, одинаково связываются с C&C-сервером и имеют автоматические триггеры сна для уменьшения сетевого шума.
Исследователи не смогли окончательно связать новый бэкдор с Nobelium. Предположительно, другая группировка могла совершить атаки, имитируя Nobelium с целью ввести в заблуждение ИБ-экспертов.
Источники
править| Эта статья содержит материалы из статьи «Новый бэкдор Tomiris может быть связан с группировкой Nobelium», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
