Новый бэкдор Tomiris, вероятно, разработан хакерами SolarWinds

25
Программа-вымогатель Groove призывает все банды вымогателей атаковать интересы США

Исследователи Kaspersky Security обнаружили новый бэкдор, который, вероятно, был разработан хакерской группой Nobelium за прошлогодней атакой на цепочку поставок SolarWinds.

Это происходит вслед за другим отчетом, опубликованным Microsoft два дня назад, в котором подробно описывается FoggyWeb , «пассивный и узконаправленный» бэкдор, разработанный и используемый той же группой для удаленной эксфильтрации конфиденциальной информации с взломанных серверов AD FS.

Новое вредоносное ПО под названием Tomiris , обнаруженное Kaspersky, было впервые обнаружено в июне, хотя первые образцы были развернуты в дикой природе в феврале 2021 года, за месяц до того , как FireEye обнаружила и связала с Nobelium «сложный бэкдор второго уровня» Sunshuttle .

Томирис был обнаружен при расследовании серии атак с перехватом DNS, нацеленных на несколько правительственных зон государства-члена СНГ в период с декабря 2020 года по январь 2021 года, что позволило злоумышленникам перенаправить трафик с государственных почтовых серверов на машины, находящиеся под их контролем.

Их жертвы были перенаправлены на страницы входа в систему веб-почты, которые помогли злоумышленникам украсть их учетные данные электронной почты и, в некоторых случаях, предложили им установить обновление вредоносного программного обеспечения, которое вместо этого загружало ранее неизвестный бэкдор Tomiris.

«В течение этого времени авторитетные DNS-серверы для указанных выше зон были переключены на распознаватели, контролируемые злоумышленником. Эти взломы были по большей части относительно кратковременными и, по-видимому, в первую очередь были нацелены на почтовые серверы затронутых организаций», — сказал Касперский .

«Мы не знаем, как злоумышленник смог этого добиться, но мы предполагаем, что они каким-то образом получили учетные данные для панели управления регистратора, используемого жертвами».

Ссылки на вредоносное ПО Sunshuttle от Nobelium

После развертывания в системе Tomiris будет многократно запрашивать сервер управления и контроля для дальнейших вредоносных полезных нагрузок для запуска на скомпрометированном устройстве, позволяя его операторам закрепиться в сети жертвы.

Другой вариант может собирать и извлекать документы из скомпрометированных систем, автоматически загружая последние файлы, соответствующие интересующим расширениям, включая .doc, .docx, .pdf, .rar и другие.

«Касперский» обнаружил много общего между двумя бэкдорами (например, оба они разработаны на Go, сохраняемость посредством запланированных задач, та же схема кодирования для связи C2, автоматические триггеры сна для уменьшения сетевого шума).

Они также обнаружили бэкдор Kazuar, который имеет общие функции с вредоносным ПО Sunburst, используемым в атаке SolarWinds в той же сети, что и Tomiris.

Несмотря на это, исследователи не смогли окончательно связать новый бэкдор с поддерживаемыми Россией государственными хакерами Nobelium из-за возможности атаки под ложным флагом, призванной ввести в заблуждение исследователей вредоносного ПО.

«Хотя возможно, что другие APT знали о существовании этого инструмента в то время, мы считаем маловероятным, что они попытаются имитировать его до того, как оно было раскрыто», — добавил Касперский.

«Гораздо более вероятная (но пока не подтвержденная) гипотеза состоит в том, что авторы Sunshuttle начали разработку Tomiris примерно в декабре 2020 года, когда была обнаружена операция SolarWinds, в качестве замены сгоревшего набора инструментов».

Кто такой Нобелиум?

Nobelium, хакерская группа, осуществившая атаку на цепочку поставок SolarWinds, которая привела к компрометации нескольких федеральных агентств США, является хакерским подразделением Службы внешней разведки России (СВР), также известной как APT29, The Dukes или Cozy Bear.

В апреле 2021 года правительство США официально обвинило подразделение SVR в координации «широкомасштабной кампании кибершпионажа SolarWinds».

Служба кибербезопасности Volexity также связала атаки с операторами той же хакерской группы, основываясь на тактике, которую они использовали в предыдущих инцидентах еще в 2018 году.

В мае исследователи Microsoft выявили еще четыре семейства вредоносных программ, используемых Nobelium в других атаках: загрузчик вредоносных программ, известный как BoomBox, загрузчик шелл-кода и средство запуска, известное как VaporRage, вредоносное HTML-вложение, получившее название EnvyScout, и загрузчик с именем «NativeZone».

В марте они подробно рассказали о трех других штаммах вредоносных программ Nobelium, используемых для поддержания устойчивости в скомпрометированных сетях: бэкдор управления и контроля, получивший название GoldMax, средство отслеживания HTTP, отслеживаемое как GoldFinder, средство сохранения данных и средство удаления вредоносных программ под названием Sibot.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here