Nobelium APT sort le cheval de Troie Tomiris Backdoor
Le cheval de Troie Tomiris Backdoor est une nouvelle menace qui semble être utilisée par un ou plusieurs groupes de menaces persistantes avancées (APT). Bien qu'il existe des similitudes importantes entre le cheval de Troie Tomiris Backdoor et les logiciels malveillants utilisés par l'APT Nobelium, les chercheurs notent que d'autres APT pourraient également être impliqués. Par exemple, les cibles du cheval de Troie Tomiris Backdoor se chevauchent avec les profils des victimes qui étaient auparavant les cibles du Turla APT.
Récemment, le Nobelium APT a de nouveau fait l'actualité après sa campagne d'attaque SolarWinds. Cette fois, ils utilisaient le nouveau FoggyWeb Malware. Cependant, il semble que le cheval de Troie Tomiris Backdoor soit un projet entièrement nouveau qui, contrairement à FoggyWeb, est également partagé avec d'autres APT. Des portions importantes du code et des fonctions de Tomiris semblent être similaires à celles trouvées dans le logiciel malveillant GoldMax, qui était actif en 2020.
À en juger par les fonctionnalités de Tomiris Backdoor Trojan, il est susceptible d'être utilisé comme une charge utile secondaire qui offre aux attaquants un meilleur contrôle sur les systèmes qu'ils infectent. Tout comme GoldMax, ce malware est également écrit en langage Go. Ce langage de programmation attire de plus en plus l'attention des cybercriminels en raison de sa grande compatibilité et du fait que certaines fonctionnalités de sécurité ne sont toujours pas aussi efficaces contre les programmes Go.
Le cheval de Troie Tomiris Backdoor gagne également en persistance grâce à la création de tâches planifiées. Après avoir identifié plus de 100 victimes du cheval de Troie Tomiris Backdoor, les chercheurs rapportent que de nombreuses victimes avaient également le Kazuar Backdoor actif sur leur réseau. Il n'est pas encore clair s'il s'agit d'une coïncidence ou si les pirates informatiques Nobelium et Kazuar travaillent côte à côte. L'activité de ce cheval de Troie de porte dérobée remonte à janvier 2021, mais son développement s'est probablement terminé plus tôt que cela.