新發現Tomiris後門與SolarWinds 網路攻擊背後駭客有關

網路安全研究人員週三披露了一個先前未記錄在案的後門程序，該程序可能是由Nobelium 高級持續威脅(APT) 設計和開發的，支持去年的SolarWinds 供應鏈攻擊，加入了威脅參與者不斷擴大的駭客工具庫。

總部位於莫斯科的卡巴斯基公司將惡意軟體代號為“ Tomiris ”，稱其與活動期間使用的另一個第二階段惡意軟體SUNSHUTTLE（又名GoldMax）相似，該惡意軟體針對IT 管理軟體提供商的Orion平台。 Nobelium 也被稱為UNC2452、SolarStorm、StellarParticle、Dark Halo 和Iron Ritual。
卡巴斯基研究人員表示： 「雖然供應鏈攻擊已經成為許多APT 參與者利用的有記錄的攻擊媒介，但由於攻擊者的極端謹慎和受害者的高調性，這一特定活動脫穎而出。」 「到目前為止收集的證據表明，Dark Halo 在Orion IT 的網路中花了六個月的時間來完善他們的攻擊，並確保他們對構建鏈的篡改不會造成任何不利影響。”

微軟在2021 年3 月詳細介紹了SUNSHUTTLE，將該病毒描述為一種基於Golang 的惡意軟體，它充當命令和控制後門，與攻擊者控制的伺服器建立安全連接，以在受感染機器上獲取和執行任意命令，如以及將檔案從系統洩漏到伺服器。

卡巴斯基於今年6 月從2 月的樣本中發現的新Tomiris 後門也是用Go 編寫的，並通過成功的DNS 劫持攻擊進行部署，在此期間，試圖訪問企業電子郵件服務登錄頁面的目標被重定向到詐騙網域設定了一個類似的介面，旨在誘使訪客以安全更新為幌子下載惡意軟體。

據信，這些攻擊是針對一個不具名的獨聯體成員國的幾個政府組織發起的。

「後門的主要目的是在受攻擊的系統中建立立足點並下載其他惡意組件，」研究人員說，此外還發現了許多相似之處，從加密方案到相同的拼寫錯誤，共同暗示「共同作者或共享開發實踐的可能性」。
這不是第一次發現威脅參與者使用的不同工具之間有重疊。今年早些時候，卡巴斯基對Sunburst的分析揭示了該惡意軟體與Kazuar 之間的許多共享功能，Kazuar 是Turla 集團基於.NET 的後門程式。有趣的是，這家網路安全公司表示，它在其他機器感染了Kazuar 的網路中偵測到Tomiris，這增加了三個惡意軟體家族可能相互關聯的可能性。

話雖如此，研究人員指出，這也可能是一個假旗攻擊的案例，其中威脅行為者故意複製已知對手採用的策略和技術，試圖誤導歸因。

幾天前，微軟採用了一種名為FoggyWeb的被動且高度針對性的植入物，Nobelium 集團採用該植入物來提供額外的有效載荷並從Active Directory 聯合服務(AD FS) 伺服器竊取敏感訊息。