Nobelium APT bringt den Backdoor-Trojaner Tomiris heraus
Der Backdoor-Trojaner Tomiris ist eine neue Bedrohung, die anscheinend von einer oder mehreren Advanced Persistent Threat (APT)-Gruppen verwendet wird. Obwohl es erhebliche Ähnlichkeiten zwischen dem Tomiris Backdoor-Trojaner und der Malware gibt, die das Nobelium APT verwendet hat, weisen Forscher darauf hin, dass auch andere APTs beteiligt sein könnten. So überschneiden sich beispielsweise die Ziele des Backdoor-Trojaners Tomiris mit den Profilen von Opfern, die zuvor Ziele des Turla APT waren.
Vor kurzem machte die Nobelium APT nach ihrer SolarWinds-Angriffskampagne erneut Schlagzeilen. Dieses Mal verwendeten sie die neue FoggyWeb-Malware. Es scheint jedoch, dass der Backdoor-Trojaner Tomiris ein völlig neues Projekt ist, das im Gegensatz zu FoggyWeb auch mit anderen APTs geteilt wird. Wesentliche Teile des Codes und der Funktionen von Tomiris scheinen denen der GoldMax-Malware zu ähneln, die 2020 aktiv war.
Den Funktionen von Tomiris Backdoor Trojan nach zu urteilen, wird er wahrscheinlich als sekundäre Nutzlast verwendet, die Angreifern mehr Kontrolle über die von ihnen infizierten Systeme bietet. Genau wie GoldMax ist auch diese Malware in der Sprache Go geschrieben. Diese Programmiersprache zieht aufgrund ihrer großen Kompatibilität und der Tatsache, dass bestimmte Sicherheitsfunktionen gegen Go-Programme immer noch nicht so effektiv sind, immer mehr Aufmerksamkeit von Cyberkriminellen auf sich.
Auch der Backdoor-Trojaner Tomiris gewinnt durch die Erstellung geplanter Aufgaben an Persistenz. Nach der Identifizierung von über 100 Opfern des Tomiris Backdoor-Trojaners berichten Forscher, dass viele der Opfer auch die Kazuar Backdoor in ihrem Netzwerk aktiv hatten. Ob dies ein Zufall ist oder ob die Hacker von Nobelium und Kazuar Seite an Seite arbeiten, ist noch nicht klar. Die Aktivität dieses Backdoor-Trojaners lässt sich bis in den Januar 2021 zurückverfolgen, seine Entwicklung wurde jedoch wahrscheinlich früher abgeschlossen.