サイバーセキュリティ研究者らは水曜日、昨年のSolarWindsサプライチェーン攻撃の原動力となったNobelium Advanced Persistent Threat(APT)によって設計、開発された可能性が高い、これまで文書化されていなかったバックドアを明らかにし、拡大する脅威アクターのリストに加わりました。ハッカーツールライブラリ。
このマルウェアのコードネーム「Tomiris」を開発したモスクワに本拠を置くカスペルスキーは、このマルウェアはキャンペーン中に使用された別の第2段階マルウェアであるSUNSHUTTLE(別名GoldMax)に似ており、IT管理ソフトウェアプロバイダーのOrionプラットフォームを標的にしたと述べた。ノーベリウムは、UNC2452、SolarStorm、StellarParticle、Dark Halo、Iron Ritual としても知られています。
カスペルスキーの研究者らは、「サプライチェーン攻撃は多くのAPT攻撃者によって悪用される攻撃ベクトルとして文書化されているが、この特定のキャンペーンは、攻撃者の細心の注意と被害者の知名度の高さから際立っている」と述べ、「現在までに証拠が収集されている」と述べた。これまでのところ、Dark Halo は Orion IT のネットワーク内で 6 か月を費やして攻撃を完璧にし、ビルド チェーンの改ざんが悪影響を及ぼさないことを確認していることがわかります。」
Microsoft は 2021 年 3 月に SUNSHUTTLE について詳しく説明し、このウイルスはコマンド アンド コントロールのバックドアとして機能し、攻撃者が制御するサーバーへの安全な接続を確立して、感染したマシン上でファイルを取得して実行する Golang ベースのマルウェアであると説明しました。システムをサーバーに接続します。
カスペルスキーが 2 月のサンプルから 6 月に発見した新しいトミリス バックドアも Go で書かれ、DNS ハイジャック攻撃を成功させて展開されました。その間、企業の電子メール サービスのログイン ページにアクセスしようとするターゲットはリダイレクトされました。同様のインターフェイスが詐欺サイトにも設定されました。ドメイン。セキュリティ アップデートを装って訪問者をだましてマルウェアをダウンロードさせるように設計されています。
この攻撃は、匿名の独立国家共同体加盟国の複数の政府機関に対して行われたと考えられている。
「バックドアの主な目的は、侵害されたシステムに足場を確立し、追加の悪意のあるコンポーネントをダウンロードすることです」と研究者らは述べ、暗号化スキームから同一のスペルミスに至るまで、集合的に「共著または共著」を示唆する多数の類似点も発見したと付け加えた。開発実践の共有の可能性」。
脅威アクターが使用するさまざまなツール間で重複が見つかったのは、これが初めてではありません。今年初め、Kaspersky による Sunburst の分析により、このマルウェアと Turla Group の .NET ベースのバックドアであるKazuar との間の多くの共通機能が明らかになりました。興味深いことに、このサイバーセキュリティ会社は、マシンがKazuarに感染している他のネットワークでもTomirisを検出したと述べており、3つのマルウェア ファミリが互いに関連している可能性が高まっていると述べています。
そうは言っても、これは偽旗攻撃のケースである可能性があると研究者らは指摘しています。偽旗攻撃では、攻撃者が帰属を誤解させるために既知の敵が使用する戦術やテクニックを意図的に複製します。
数日前、Microsoft は、FoggyWeb と呼ばれるパッシブで標的を絞ったインプラントを導入しました。これは、Nobelium グループによって追加のペイロードを配信し、Active Directory Federation Services (AD FS) サーバーから機密情報を盗むために使用されました。
原文、著者:最高セキュリティ責任者、転載する場合は出典を明記してください: https://cncso.com/jp/new-discovery-of-omiris-backdoor-linked-to-hackers-behind-solarwinds-cyber-攻撃.html