Nobelium APT bringer Tomiris Backdoor Trojan ud

Tomiris Backdoor Trojan er en ny trussel, der ser ud til at være i brug af en eller flere grupper af Advanced Persistent Threat (APT). Selvom der er betydelige ligheder mellem Tomiris Backdoor Trojan og malware, som Nobelium APT har brugt, bemærker forskere, at andre APT'er også kan være involveret. For eksempel overlapper målene for Tomiris Backdoor Trojan med profilerne for ofre, der tidligere var mål for Turla APT.

For nylig kom Nobelium APT nyheden igen efter deres SolarWinds -angrebskampagne. Denne gang brugte de den nye FoggyWeb Malware. Det ser imidlertid ud til, at Tomiris Backdoor Trojan er et helt nyt projekt, der i modsætning til FoggyWeb også deles med andre APT'er. Betydelige dele af Tomiris 'kode og funktioner ser ud til at ligne dem, der findes i GoldMax Malware, som var aktiv i 2020.

At dømme efter Tomiris Backdoor Trojan's funktioner, vil det sandsynligvis komme i brug som en sekundær nyttelast, der giver angribere mere kontrol over de systemer, de inficerer. Ligesom GoldMax er denne malware også skrevet på Go -sproget. Dette programmeringssprog har tiltrukket mere og mere opmærksomhed fra cyberkriminelle på grund af dets store kompatibilitet og det faktum, at visse sikkerhedsfunktioner stadig ikke er så effektive mod Go -programmer.

Tomiris Backdoor Trojan vinder også vedholdenhed gennem oprettelsen af planlagte opgaver. Efter at have identificeret over 100 ofre for Tomiris Backdoor Trojan, rapporterer forskere, at mange af ofrene også havde Kazuar Backdoor aktiv på deres netværk. Det er endnu ikke klart, om det er tilfældigt, eller om Nobelium- og Kazuar -hackerne arbejder side om side. Aktiviteten af denne trojanske bagdør kan spores tilbage til januar 2021, men dens udvikling var sandsynligvis færdig tidligere end dette.