Tomiris Backdoor Trojan

Los investigadores de Infosec han descubierto un nuevo troyano de puerta trasera llamado Tomiris que podría tener vínculos con el infame grupo NOBELIUM APT (Advanced Persistent Threat). El año pasado, NOBELIUM lanzó un ataque a la cadena de suministro contra la importante empresa de TI de EE. UU. SolarWinds. Como parte de la operación, los piratas informáticos utilizaron múltiples amenazas de malware altamente específicas y personalizadas. La atribución de Tomiris a NOBELIUM no se ha probado de manera concluyente; sin embargo, la amenaza también comparte ciertas similitudes con Kazuar, una de las puertas traseras vinculadas a NOBELIUM APT.

Campaña de ataque

Las operaciones amenazadoras que involucran a Tomiris afectaron a múltiples entidades gubernamentales pertenecientes a uno de los estados miembros de la CEI. Mediante el secuestro de DNS, el actor de amenazas pudo redirigir el tráfico de los servidores de correo oficiales del gobierno a las máquinas bajo su control. Para los visitantes sin el conocimiento suficiente, discernir entre las páginas falsas y las originales podría haber resultado ser extremadamente difícil, ya que se estaban conectando a la URL familiar y llegaban a una página segura. Una vez redirigidos a la página del impostor, se instó a los visitantes desprevenidos a descargar una actualización de software corrupta que lleva la puerta trasera de Tomiris.

Una funcionalidad amenazadora y similitudes con Sunshuttle / GoldMax

Las funciones principales de Tomiris se refieren a establecer su presencia en el sistema comprometido y luego entregar una carga útil de la siguiente etapa de una amenaza de malware aún no identificada. Al analizar el comportamiento y el código subyacente de Tomiris, los investigadores comenzaron a notar muchas similitudes con el malware de segunda etapa Sunshuttle que NOBELIUM usó en el ataque SolarWinds. Estos incluyen tanto las amenazas escritas en el lenguaje de programación Go, el uso de métodos de cifrado / ofuscación únicos, el establecimiento de persistencia a través de tareas programadas y el uso de retrasos en el sueño para ocultar sus actividades intrusivas. Además, las dos amenazas también se parecen en la forma en que se estructura su flujo de acción general.