информационная безопасностьВ среду исследователи раскрыли ранее недокументированную программу бэкдора, которая, возможно, была разработана Nobelium Advanced Persistent Threat (APT) для поддержки прошлогодней атаки SolarWinds Supply Chain Attack, присоединившись к растущему списку субъектов угроз вхакерБиблиотека инструментов.
Московская компания "Касперский" присвоила вредоносной программе кодовое название "Tomiris", заявив, что она похожа на другую вредоносную программу второго этапа, использовавшуюся в ходе кампании, SUNSHUTTLE (она же GoldMax), которая была нацелена на платформу Orion компании-поставщика программного обеспечения для управления ИТ. Nobelium также известен под названиями UNC2452, SolarStorm, StellarParticle, Dark Halo и Iron Ritual.
"Хотя атаки на цепочки поставок стали хорошо задокументированным вектором атак, используемым многими участниками APT, эта конкретная кампания выделяется благодаря чрезвычайной осторожности злоумышленников и высокому статусу жертв", - говорят исследователи "Касперского". "Собранные на данный момент доказательства свидетельствуют о том, что Dark Halo провели шесть месяцев в сети Orion IT, оттачивая свою атаку и убеждаясь, что их вмешательство в цепочку сборки не имело никаких пагубных последствий".
Microsoft подробно описала SUNSHUTTLE в марте 2021 года, назвав вирус вредоносной программой на базе Golang, которая действует как командно-контрольный бэкдор, устанавливающий безопасное соединение с контролируемым злоумышленником сервером для получения и выполнения произвольных команд на зараженной машине, например, для утечки файлов из системы на сервер.
Новый бэкдор Tomiris, обнаруженный "Касперским" в июне этого года на основе февральского образца, также был написан на языке Go и развернут с помощью успешной атаки с перехватом DNS, в ходе которой цели, пытавшиеся получить доступ к странице входа в систему корпоративного почтового сервиса, перенаправлялись на мошеннический домен с аналогичным интерфейсом, призванным заманить посетителей для загрузки вредоносного ПО под видом обновлений безопасности.
Предполагается, что атаки были совершены на несколько правительственных организаций в неназванном государстве-члене СНГ.
Основная цель бэкдора - закрепиться в атакуемой системе и загрузить другие вредоносные компоненты", - заявили исследователи, добавив, что также был обнаружен ряд сходств, начиная от схем шифрования и заканчивая одинаковыми орфографическими ошибками, что в совокупности намекает на "возможность соавторства или совместной практики разработки". "
Это не первый случай, когда обнаруживается дублирование различных инструментов, используемых субъектами угроз. Ранее в этом году анализ Sunburst, проведенный "Касперским", выявил ряд общих функций между этой вредоносной программой и Kazuar, программой-бэкдором на базе .NET от Turla Group. Интересно, что компания по кибербезопасности заявила, что обнаружила Tomiris в сетях, где другие машины были заражены Kazuar, что увеличивает вероятность того, что три семейства вредоносных программ могут быть взаимосвязаны.
При этом исследователи отмечают, что это также может быть случай атаки под ложным флагом, когда угрожающий субъект намеренно копирует тактику и методы, используемые известным противником, в попытке ввести в заблуждение.
Несколько дней назад Microsoft приняла пассивный и узконаправленный имплант под названием FoggyWeb, который был использован Nobelium Group для доставки дополнительных полезных нагрузок и кражи конфиденциальной информации с серверов Active Directory Federation Services (AD FS).
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/new-discovery-of-tomiris-backdoor-linked-to-hackers-behind-solarwinds-cyber-attack. html