Tomiris Backdoor-Trojaner

Forscher von Infosec haben einen neuen Backdoor-Trojaner namens Tomiris entdeckt, der Verbindungen zur berüchtigten NOBELIUM APT-Gruppe (Advanced Persistent Threat) haben könnte. Im vergangenen Jahr startete NOBELIUM einen Supply-Chain-Angriff gegen das große US-IT-Unternehmen SolarWinds. Im Rahmen der Operation setzten die Hacker mehrere sehr gezielte und maßgeschneiderte Malware-Bedrohungen ein. Die Zuordnung von Tomiris zu NOBELIUM ist nicht schlüssig belegt; Die Bedrohung hat jedoch auch gewisse Ähnlichkeiten mit Kazuar, einer der Hintertüren, die mit der NOBELIUM APT verbunden sind.

Angriffskampagne

Die bedrohlichen Operationen, an denen Tomiris beteiligt war, betrafen mehrere Regierungsstellen, die einem der GUS-Staaten angehören. Über DNS-Hijacking konnte der Bedrohungsakteur den Datenverkehr von offiziellen Mailservern der Regierung auf die von ihm kontrollierten Maschinen umleiten. Für Besucher ohne ausreichende Kenntnisse könnte sich die Unterscheidung zwischen den gefälschten Seiten und den Originalseiten als äußerst schwierig erwiesen haben, da sie sich mit der bekannten URL verbinden und auf eine sichere Seite gelangen. Nach der Weiterleitung auf die Betrügerseite wurden die ahnungslosen Besucher aufgefordert, ein beschädigtes Software-Update mit der Tomiris-Hintertür herunterzuladen.

Eine bedrohliche Funktionalität und Ähnlichkeiten mit Sunshuttle/GoldMax

Die Hauptfunktionen von Tomiris bestehen darin, seine Präsenz auf dem kompromittierten System zu ermitteln und dann eine Nutzlast der nächsten Stufe einer noch nicht identifizierten Malware-Bedrohung bereitzustellen. Bei der Analyse des Verhaltens und des zugrunde liegenden Codes von Tomiris bemerkten die Forscher viele Ähnlichkeiten mit der Malware der zweiten Stufe Sunshuttle, die NOBELIUM beim SolarWinds-Angriff verwendet hat. Dazu gehören sowohl Bedrohungen, die in der Programmiersprache Go geschrieben sind, die Verwendung einzelner Verschlüsselungs-/Verschleierungsmethoden, die Herstellung von Persistenz über geplante Aufgaben als auch die Verwendung von Schlafverzögerungen, um ihre aufdringlichen Aktivitäten zu verbergen. Darüber hinaus ähneln sich die beiden Bedrohungen auch in der Strukturierung ihres allgemeinen Aktionsflusses.