Kaspersky güvenlik araştırmacıları, Nobelium Hack Grubu tarafından geçen yılın arkasındaki Solarwinds tedarik zinciri saldırısının arkasındaki yeni bir arka kapı keşfetti.
Bu, Microsoft tarafından iki gün önce yayınlanan başka bir raporun topuklarına, foggyweb, "pasif ve yüksek hedefli" bir arka kapı tarafından geliştirilen ve aynı grup tarafından güvenilir reklam FS sunucularından gelen hassas bilgileri uzaktan çıkarmak için aynı grup tarafından kullandılar.
Kaspersky, Dubbed Tomiris'in yaptığı yeni kötü amaçlı yazılım ilk örnekleri Haziran ayında ilk örnek oldu, ilk örnekler 2021'den bir ay önce, "sofistike ikinci aşama arka kapı" güneş ışığı fireeiye tarafından bulundu ve Nobelium'a bağlandı.
TOMIRIS, 2020. Aralık ve 2021 Aralık arasında bir BDT üyesi devletinin çeşitli hükümet bölgelerini hedefleyen bir dizi DNS kaçırma saldırısı araştırırken, bu da tehdit aktörlerinin Hükümet Posta Sunucularından Trafiği kontrol altındaki makinelere yönlendirmesine izin verdi.
Kurbanları, saldırganların e-posta kimlik bilgilerini çalmasını sağlayan Webmail giriş sayfalarına yönlendirildi ve bazı durumlarda, bunun yerine daha önce bilinmeyen Tomiris backdoor indirmesini sağlayan kötü amaçlı yazılım güncellemesi kurmalarını istedi.
"Bu zaman dilimlerinde, yukarıdaki bölgeler için yetkili DNS sunucuları saldırgan kontrollü çözümlere geçti. Bu mezunlar çoğunlukla nispeten kısa sürelerdi ve etkilenen kuruluşların posta sunucularını hedef almış gibi görünüyordu," dedi.
"Tehdit aktörünün bunu nasıl başarabildiğini bilmiyoruz, ancak bir şekilde kurbanların kullandığı Registrar'ın kontrol paneline kimlik bilgilerini aldıklarını varsayıyoruz."
Bir sisteme konuşlandırıldıktan sonra, Tomiris, operatörlerinin kurbanın ağında bir yer belirlemesini sağlayan, bir komut-kontrol sunucusunu daha fazla kötü amaçlı yükler için bir komut ve kontrol sunucusunu sorgulayacaktır.
Başka bir varyantı, teminatsız sistemlerden oluşan belgeleri toplayabilir ve eksprese edebilir, son dosyaları otomatik olarak .doc, .docx, .pdf, .rar ve daha fazlası dahil olmak üzere ilgi alanıyla eşleşen son dosyaları yükleyebilir.
Kaspersky, iki arka kapı arasında pek çok benzerlik bulundu (örneğin, hem GO sırasında geliştirilen, zamanlanmış görevler aracılığıyla kalıcılık, C2 Comms için aynı kodlama şeması, otomatik uyku ağını azaltmak için tetikler).
Ayrıca, Solarwinds Saldırı'nda kullanılan Sunburst Kötü amaçlı yazılımları olan Kazuar Backdoor'u da aynı ağda TOMIRIS olarak gördüler.
Buna rağmen, araştırmacılar, kötü amaçlı yazılım araştırmacılarını yanlış yönlendirmek için tasarlanmış sahte bir bayrak saldırısının olasılığı nedeniyle, yeni backdoor'u Rus destekli Nobelium Devlet Hacker'larına kesin olarak bağlamadılar.
Kaspersky, "Diğer medenlerin şu anda bu aracın varlığının farkında olmaları mümkün olsa da, açıklanmadan önce taklit etmeye çalışacakları ihtimalin olası olmadığını düşünüyoruz" dedi.
"Çok sayıda likuer (ama henüz onaylanmamış) bir hipotez, SolarWinds operasyonunun keşfedildiği zaman, yanmış araç kümesi için bir yedek olarak, Solarwinds operasyonu keşfedildiğinde, Sunshuttle'ın yazarlarının 2020 civarında Tomiris'i geliştirmeye başlamasıdır."
Birden fazla ABD federal ajanslarının uzlaşmasına yol açan Solarwinds tedarik zinciri saldırısını yapan Hacking Grubu olan Nobelium, Rusya Yabancı İstihbarat Servisi'nin (SVR) 'nin hackleme bölünmesi, ayrıca APT29, DUK'lar veya rahat bir ayı olarak izlenir. .
Nisan 2021'de, Amerika Birleşik Devletleri Hükümeti, SOGR'yı "geniş kapsamlı siber casusluk kampanyası" olarak koordine etmek için SVR bölümünü resmen suçladı.
Siber Güvenlik Kıyafet Volexity ayrıca, aynı hack grubunun operatörlerine, önceki olaylarda 2018'e geri döndüğü taktiklere dayalı olarak aynı hackleme grubuna bağladı.
Mayıs ayında, Microsoft araştırmacıları, Nobelium tarafından diğer saldırılarda kullanılan dört kötü amaçlı yazılım ailesini ortaya çıkardı: 'BoomBox,' 'Boombox,' bir ShellCode Downloader ve 'vahaRrage' olarak bilinen bir Launcher olarak bilinen bir kötü amaçlı yazılım indiricisi, 'zararlı bir html' ve bir yükleyici 'Nativezone.'
Mart ayında, tehlikeye atılan ağlarda kalıcılığı korumak için kullanılan diğer üç nobelium kötü amaçlı yazılım suşunu ayrıntılı olarak detaylandırdılar: 'GoldFinder' olarak izlenen bir http tracer aracı 'GoldFinder,' Sibot adında 'Goldfinder' olarak izlenen bir HTTP Tracer aracıdır. '
Microsoft: Nobelium, Backdoor Windows Etki Alanlarına Özel Kötü Amaçlı Yazılım Kullanıyor
Autodesk, Rus Solarwinds Hackerları tarafından hedeflendiğini ortaya koyuyor
Fin8 CyberCrime Gang Backdoors Bize Yeni Sardonik Malware ile Orgs
Ghostemperor Hackers, Saldırılarda Yeni Windows 10 Rootkit'i kullanıyor
Yeni Android Malware, 10 m telefonları enfekte olduktan sonra milyonlarca çalıyor
Kaynak: Bleeping Computer