A Nobelium APT előhozza a Tomiris Backdoor trójai programot

A Tomiris Backdoor trójai egy új fenyegetés, amelyet egy vagy több Advanced Persistent Threat (APT) csoport használ. Bár jelentős hasonlóságok vannak a Tomiris Backdoor trójai és a Nobelium APT által használt rosszindulatú programok között, a kutatók megjegyzik, hogy más APT -k is részt vehetnek. Például a Tomiris Backdoor trójai céljai átfedésben vannak az áldozatok profiljával, amelyek korábban a Turla APT célpontjai voltak.

A közelmúltban a Nobelium APT a SolarWinds támadási kampánya után ismét közölte a hírt. Ezúttal az új FoggyWeb Malware -t használták. Úgy tűnik azonban, hogy a Tomiris Backdoor trójai egy teljesen új projekt, amelyet a FoggyWeb -kel ellentétben más APT -kkel is megosztanak. Úgy tűnik, hogy a Tomiris kódjának és funkcióinak jelentős része hasonló a 2020 -ban aktív GoldMax Malware -ben találhatókhoz.

A Tomiris Backdoor Trójai tulajdonságai alapján valószínűleg másodlagos hasznos terhelésként fogják használni, amely a támadók számára nagyobb ellenőrzést biztosít a fertőzött rendszerek felett. Csakúgy, mint a GoldMax, ez a rosszindulatú program is Go nyelven íródott. Ez a programozási nyelv egyre nagyobb figyelmet vonz a kiberbűnözők részéről, mert nagyszerű kompatibilitása, és az a tény, hogy bizonyos biztonsági funkciók még mindig nem olyan hatékonyak a Go programokkal szemben.

A Tomiris Backdoor trójai az ütemezett feladatok létrehozásával is kitartást nyer. A Tomiris hátsó ajtó trójai több mint 100 áldozatának azonosítását követően a kutatók arról számolnak be, hogy sok áldozatnak a Kazuar hátsó ajtó is aktív volt a hálózatán. Egyelőre nem világos, hogy ez véletlen -e, vagy a Nobelium és a Kazuar hackerek egymás mellett dolgoznak. E hátsó ajtó trójai tevékenysége 2021 januárjára vezethető vissza, de a fejlesztés valószínűleg ennél korábban befejeződött.