Лаборатория Касперского Sunshuttle Tomiris Nobelium
Бэкдор использовался в атаках на несколько правительственных структур одного из государств СНГ.
Исследователи в области кибербезопасности из «Лаборатории Касперского» обнаружили бэкдор, предположительно связанный с киберпреступной группировкой Nobelium, ответственной за прошлогоднюю атаку на цепочку поставок SolarWinds.
Первые образцы вредоносного ПО под названием Tomiris были обнаружены в феврале 2021 года, за месяц до того, как FireEye обнаружила и связала с Nobelium «сложный бэкдор второго уровня» Sunshuttle .
Tomiris был обнаружен при расследовании серии атак с перехватом DNS-запросов, нацеленных на несколько правительственных структур одного из государств СНГ в период с декабря 2020 года по январь 2021 года. Атаки позволили злоумышленникам перенаправить трафик с государственных почтовых серверов на свои устройства.
Преступники перенаправляли жертв на страницы входа в систему web-почты, похищали их учетные данные электронной почты и, в некоторых случаях, предлагали установить обновление ПО, которое вместо этого загружало бэкдор Tomiris.
По словам экспертов, взломы были по большей части относительно кратковременными и в первую очередь были нацелены на почтовые серверы затронутых организаций.
«Мы не знаем, как злоумышленники смогли этого добиться, но мы предполагаем, что они каким-то образом получили учетные данные для панели управления регистратора, используемого жертвами», — отметили специалисты.
После установки Tomiris будет многократно запрашивать C&C-сервер для установки дальнейших полезных нагрузок на скомпрометированном устройстве, позволяя операторам вредоноса обеспечить себе персистентность.
Другой вариант может похищать документы из скомпрометированных систем, автоматически загружая последние файлы, соответствующие интересующим расширениям, включая .doc, .docx, .pdf, .rar и пр.
Эксперты обнаружили много общего между бэкдорами Tomiris и Sunshuttle. Например, оба вредоноса разработаны на языке Go, обеспечивают персистентность через запланированные задачи, одинаково связываются с C&C-сервером и имеют автоматические триггеры сна для уменьшения сетевого шума.
Исследователи не смогли окончательно связать новый бэкдор с Nobelium. Предположительно, другая группировка могла совершить атаки, имитируя Nobelium с целью ввести в заблуждение ИБ-экспертов.
SECURITYLAB.RU