La nuova backdoor Tomiris è stata sviluppata dagli hacker che hanno violato SolarWinds

news

I ricercatori di sicurezza Kaspersky hanno annunciato la scoperta di una nuova backdoor che è stata probabilmente sviluppata dal gruppo di hacking Nobelium che ha effettuato l’anno scorso l’attacco alla catena di fornitura SolarWinds.

Questa backdoor, chiamata “FoggyWeb”, è una backdoor “passiva e altamente mirata” sviluppata dal gruppo e utilizzata per rubare da remoto informazioni sensibili da server ADFS compromessi.

Kaspersky ha scoperto un nuovo malware chiamato Tomiris, il cui primo campione è stato usato nel mondo reale nel febbraio 2021.

Tomiris è stato scoperto durante le indagini su una serie di attacchi di dirottamento DNS che hanno preso di mira più zone governative nei paesi membri della CSI tra dicembre 2020 e gennaio 2021. Gli attacchi permettono agli aggressori di reindirizzare il traffico dai server di posta del governo a macchine sotto il loro controllo.

Le vittime vengono reindirizzate a una pagina di login di webmail dove l’attaccante ruba le loro credenziali di posta elettronica e, in alcuni casi, le costringe a installare un aggiornamento software dannoso che scarica la backdoor Tomiris precedentemente sconosciuta.

Kaspersky ha detto

Questi dirottamenti sono stati relativamente brevi e sembrano aver preso di mira principalmente i server di posta delle organizzazioni colpite.

Non sappiamo come i ricattatori abbiano compiuto questo, ma è probabile che abbiano ottenuto in qualche modo le credenziali del pannello di controllo del registrar che le vittime stavano usando

.https://securelist.com/darkhalo-after-solarwinds-the-tomiris-connection/104311/

Tomiris, una volta distribuito su un sistema, interroga ripetutamente il server di comando e controllo per altri payload dannosi da eseguire sul dispositivo compromesso, permettendo all’attaccante di ottenere un punto d’appoggio sulla rete della vittima.

Un’altra variante può raccogliere e far trapelare documenti dal sistema compromesso. Carica automaticamente i file recenti che corrispondono all’estensione di interesse, come .doc, .docx, .pdf, e .rar.

Kaspersky ha trovato molte somiglianze tra le due backdoor (per esempio, entrambe sono state sviluppate in Go, persistenza con compiti programmati, stesso schema di codifica per la comunicazione C2, attivazione automatica del sonno per ridurre il rumore di rete).

Abbiamo anche scoperto la backdoor Kazuar, che condivide caratteristiche con il malware Sunburst usato per attaccare SolarWinds sulla stessa rete di Tomiris.

Non hanno, tuttavia, escluso che la nuova backdoor sia stata causata da hacker sostenuti dalla Russia nel paese di Nobelium, e hanno indicato la possibilità di un attacco false flag per ingannare i ricercatori di malware.

È possibile che altre APT fossero a conoscenza dell’esistenza di questo strumento, ma è improbabile che avrebbero cercato di copiarlo prima del suo rilascio

Gli autori di Sunshuttle hanno iniziato a sviluppare Tomiris intorno al dicembre 2020, quando l’operazione SolarWinds era Un’ipotesi più probabile (ma ancora non confermata) è che gli autori di Sunshuttle abbiano iniziato a sviluppare Tomiris come sostituzione del toolset bruciato intorno al dicembre 2020, quando è stato scoperto.

Che cos’è Nobelium?

Nobelium, il gruppo di hacking che ha effettuato l’attacco alla catena di fornitura SolarWinds responsabile della compromissione di più agenzie federali statunitensi, è un’unità di hacking del servizio di intelligence straniero russo (SVR), rintracciato anche come APT29, The Dukes e Cozy Bear.

Nell’aprile 2021, il governo statunitense ha formalmente accusato la divisione SVR di aver coordinato un “diffuso attacco di spionaggio informatico” contro SolarWinds.

La società di cybersecurity Volexity ha anche collegato l’ultimo attacco allo stesso operatore del gruppo di hacking, sulla base delle tattiche utilizzate in precedenti incidenti risalenti al 2018.

In maggio, i ricercatori di Microsoft hanno rivelato altre quattro famiglie di malware utilizzate da Nobelium in altri attacchi, tra cui un downloader di malware chiamato “BoomBox”, un downloader e launcher di shellcode chiamato “VaporRage”, un ” EnvyScout”, un allegato HTML dannoso chiamato “EnvyScout”, e un loader chiamato “NativeZone”.

In marzo, abbiamo dettagliato tre tipi di malware Nobelium usati per mantenere la persistenza sulle reti compromesse: una backdoor di comando e controllo chiamata “GoldMax”, uno strumento tracciante HTTP tracciato come “GoldFinder”, e uno strumento di persistenza e malware dropper chiamato ” Era uno strumento di persistenza e malware dropper chiamato “Sibot”.

Comments

タイトルとURLをコピーしました