Backdoor Tomiris

Podczas konferencji SAS 2021 nasi eksperci mówili o backdoorze Tomiris, który wydaje się być powiązany z ugrupowaniem DarkHalo.

Nasi eksperci znaleźli nowego backdoora, który jest już używany przez cyberprzestępców w atakach ukierunkowanych. Backdoor ten nosi nazwę Tomiris i pod wieloma względami przypomina Sunshuttle — znane także pod nazwą GoldMax szkodliwe oprogramowanie, które ugrupowanie DarkHalo (inna nazwa to Nobelium) wykorzystało w ataku na łańcuch dostaw przeciwko klientom SolarWinds.

Możliwości Tomirisa

Głównym zadaniem backdoora Tomiris jest dostarczenie dodatkowego szkodliwego oprogramowania na maszynę ofiary. Nieustannie komunikuje się on z serwerem kontrolowanym przez cyberprzestępców i pobiera z niego pliki wykonywalne, które uruchamia z określonymi argumentami.

Nasi eksperci trafili również na wariant kradnący pliki. Szkodliwe oprogramowanie wybierało ostatnio utworzone pliki z określonymi rozszerzeniami (.doc, .docx, .pdf, .rar i inne), a następnie przesyłało je na serwer kontroli.

Twórcy backdoora wyposażyli go w różne funkcje, dzięki którym mógł on oszukiwać technologie bezpieczeństwa i wprowadzać w błąd śledczych. Na przykład po dostarczeniu szkodliwego oprogramowania na komputer nie robiło ono nic przez 9 minut, co umożliwiało oszukiwanie wszelkich mechanizmów wykrywania opartych na piaskownicy. Co więcej, adres serwera kontroli nie jest zakodowany bezpośrednio w Tomirisie – adres URL i informacje o porcie pochodzą z serwera sygnalizacyjnego.

Jak Tomiris dostaje się na komputery

Aby dostarczyć backdoora, cyberprzestępcy wykorzystują metodę porwania adresu DNS do przekierowywania ruchu z serwera pocztowego danej organizacji do własnych szkodliwych witryn (prawdopodobnie poprzez uzyskanie danych logowania do panelu sterowania na stronie rejestratora nazw domen). W ten sposób mogą oni zwabiać klientów na stronę, która wygląda jak strona logowania prawdziwej usługi pocztowej. Oczywiście gdy ktoś wprowadza dane uwierzytelniające na fałszywej stronie, trafiają one wprost do rąk oszustów.

Czasami strony internetowe żądają od użytkowników zainstalowania aktualizacji zabezpieczeń. W tym przypadku aktualizacja była w rzeczywistości programem do pobierania backdoora Tomiris.

Więcej szczegółów technicznych na temat backdoora Tomiris, a także wskaźniki włamania i zaobserwowane połączenia między narzędziami Tomiris i DarkHalo, znajdują się w naszym poście w serwisie SecureList.

Jak zachować bezpieczeństwo

Opisana powyżej metoda dostarczania szkodliwego oprogramowania nie zadziała, jeśli komputer uzyskujący dostęp do interfejsu poczty internetowej jest chroniony przez solidne rozwiązanie zabezpieczające. Ponadto każda aktywność osób stojących za atakiem APT w sieci korporacyjnej może zostać wykryta przez ekspertów obsługujących rozwiązanie Kaspersky Managed Detection and Response.

Porady