Neu entdeckte Tomiris-Backdoor steht in Verbindung mit den Hackern hinter dem SolarWinds-Cyberangriff

NetzwerksicherheitForscher enthüllten am Mittwoch ein bisher nicht dokumentiertes Backdoor-Programm, das möglicherweise von Nobelium Advanced Persistent Threat (APT) zur Unterstützung des letztjährigen SolarWinds-Lieferkettenangriffs entworfen und entwickelt wurde.Hacker (Informatik) (Lehnwort)Werkzeug-Bibliothek.

Das in Moskau ansässige Unternehmen Kaspersky gab der Malware den Codenamen "Tomiris" und erklärte, sie sei einer anderen Phase-2-Malware ähnlich, die während der Kampagne eingesetzt wurde: SUNSHUTTLE (auch bekannt als GoldMax), die auf die Orion-Plattform des IT-Management-Softwareanbieters abzielte. Nobelium ist auch unter den Namen UNC2452, SolarStorm, StellarParticle, Dark Halo und Iron Ritual bekannt.
"Während Angriffe auf die Lieferkette mittlerweile ein gut dokumentierter Angriffsvektor sind, der von vielen APT-Teilnehmern genutzt wird, sticht diese spezielle Kampagne durch die extreme Vorsicht der Angreifer und die Bekanntheit der Opfer hervor", so die Kaspersky-Forscher. "Die bisher gesammelten Beweise deuten darauf hin, dass Dark Halo sechs Monate im Netzwerk von Orion IT verbracht hat, um ihren Angriff zu verfeinern und sicherzustellen, dass ihre Manipulation der Build-Chain keine nachteiligen Auswirkungen hat."

Microsoft beschrieb SUNSHUTTLE im März 2021 als Golang-basierte Malware, die als Command-and-Control-Backdoor fungiert, die eine sichere Verbindung zu einem von einem Angreifer kontrollierten Server herstellt, um beliebige Befehle auf einem infizierten Rechner zu erhalten und auszuführen, z. B. um Dateien vom System auf den Server zu übertragen.

Neu entdeckte Tomiris-Backdoor steht in Verbindung mit den Hackern hinter dem SolarWinds-Cyberangriff

Die neue Tomiris-Backdoor, die Kaspersky im Juni dieses Jahres anhand des Februar-Samples entdeckte, war ebenfalls in Go geschrieben und wurde über einen erfolgreichen DNS-Hijacking-Angriff eingesetzt, bei dem Ziele, die versuchten, auf die Anmeldeseite des E-Mail-Dienstes des Unternehmens zuzugreifen, auf eine betrügerische Domain umgeleitet wurden, die eine ähnliche Schnittstelle einrichtete, um Besucher unter dem Deckmantel von Sicherheitsupdates zum Download von Malware zu verleiten.

Es wird vermutet, dass sich die Angriffe gegen mehrere Regierungsorganisationen in einem ungenannten GUS-Mitgliedstaat richteten.

Der Hauptzweck der Hintertür ist es, im angegriffenen System Fuß zu fassen und andere bösartige Komponenten herunterzuladen", so die Forscher. Außerdem fanden sie viele Ähnlichkeiten, die von Verschlüsselungsschemata bis hin zu denselben Rechtschreibfehlern reichen und insgesamt auf "die Möglichkeit einer Co-Autorenschaft oder gemeinsamer Entwicklungspraktiken" hindeuten. "
Dies ist nicht das erste Mal, dass Überschneidungen zwischen verschiedenen von Bedrohungsakteuren verwendeten Tools festgestellt wurden. Anfang dieses Jahres hat Kaspersky bei der Analyse von Sunburst eine Reihe gemeinsamer Funktionen zwischen der Malware und Kazuar, dem .NET-basierten Backdoor-Programm der Turla Group, festgestellt. Interessanterweise hat das Cybersecurity-Unternehmen Tomiris in Netzwerken entdeckt, in denen andere Rechner mit Kazuar infiziert waren, was die Wahrscheinlichkeit erhöht, dass die drei Malware-Familien miteinander verbunden sind.

Die Forscher weisen jedoch darauf hin, dass es sich hierbei auch um einen Angriff unter falscher Flagge handeln könnte, bei dem ein Bedrohungsakteur absichtlich die Taktiken und Techniken eines bekannten Gegners nachahmt, um die Zuordnung in die Irre zu führen.

Vor einigen Tagen hat Microsoft ein passives und sehr gezieltes Implantat namens FoggyWeb eingeführt, das von der Nobelium Group verwendet wurde, um zusätzliche Nutzdaten zu übermitteln und sensible Informationen von Active Directory Federation Services (AD FS)-Servern zu stehlen.

Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/new-discovery-of-tomiris-backdoor-linked-to-hackers-behind-solarwinds-cyber-attack. html

Wie (0)
Vorherige Dienstag, 28. August 2021 um 13:18 Uhr.
Weiter Freitag, 18. Oktober 2021, 14:04 Uhr.

Empfohlen