网络安全研究人员周三披露了一个之前未记录在案的后门程序,该后门程序可能是由 Nobelium 高级持续威胁 (APT) 设计和开发的,支持去年的SolarWinds 供应链攻击,加入了威胁参与者不断扩大的黑客工具库。
总部位于莫斯科的卡巴斯基公司将恶意软件代号为“ Tomiris ”,称其与活动期间使用的另一个第二阶段恶意软件 SUNSHUTTLE(又名 GoldMax)相似,该恶意软件针对 IT 管理软件提供商的 Orion 平台。Nobelium 也被称为 UNC2452、SolarStorm、StellarParticle、Dark Halo 和 Iron Ritual。
卡巴斯基研究人员表示: “虽然供应链攻击已经成为许多 APT 参与者利用的有记录的攻击媒介,但由于攻击者的极端谨慎和受害者的高调性,这一特定活动脱颖而出。” “到目前为止收集的证据表明,Dark Halo 在 Orion IT 的网络中花了六个月的时间来完善他们的攻击,并确保他们对构建链的篡改不会造成任何不利影响。”
微软在 2021 年 3 月详细介绍了SUNSHUTTLE,将该病毒描述为一种基于 Golang 的恶意软件,它充当命令和控制后门,与攻击者控制的服务器建立安全连接,以在受感染机器上获取和执行任意命令,如以及将文件从系统泄露到服务器。
卡巴斯基于今年 6 月从 2 月份的样本中发现的新 Tomiris 后门也是用 Go 编写的,并通过成功的 DNS 劫持攻击进行部署,在此期间,试图访问企业电子邮件服务登录页面的目标被重定向到欺诈域设置了一个类似的界面,旨在诱使访问者以安全更新为幌子下载恶意软件。
据信,这些攻击是针对一个未具名的独联体成员国的几个政府组织发起的。
“后门的主要目的是在受攻击的系统中建立立足点并下载其他恶意组件,”研究人员说,此外还发现了许多相似之处,从加密方案到相同的拼写错误,共同暗示“共同作者或共享开发实践的可能性”。
这不是第一次发现威胁参与者使用的不同工具之间存在重叠。今年早些时候,卡巴斯基对 Sunburst的分析揭示了该恶意软件与 Kazuar 之间的许多共享功能,Kazuar 是 Turla 集团基于 .NET 的后门程序。有趣的是,这家网络安全公司表示,它在其他机器感染了 Kazuar 的网络中检测到 Tomiris,这增加了三个恶意软件家族可能相互关联的可能性。
话虽如此,研究人员指出,这也可能是一个假旗攻击的案例,其中威胁行为者故意复制已知对手采用的策略和技术,试图误导归因。
几天前,微软采用了一种名为FoggyWeb的被动且高度针对性的植入物,Nobelium 集团采用该植入物来提供额外的有效载荷并从 Active Directory 联合服务 (AD FS) 服务器窃取敏感信息。
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/new-discovery-of-tomiris-backdoor-linked-to-hackers-behind-solarwinds-cyber-attack.html
