Nobelium APT fa emergere il Trojan Backdoor Tomiris

Il Tomiris Backdoor Trojan è una nuova minaccia che sembra essere utilizzata da uno o più gruppi Advanced Persistent Threat (APT). Sebbene ci siano somiglianze significative tra il Trojan Tomiris Backdoor e il malware utilizzato da Nobelium APT, i ricercatori notano che potrebbero essere coinvolti anche altri APT. Ad esempio, gli obiettivi del Trojan Tomiris Backdoor si sovrappongono ai profili delle vittime che in precedenza erano obiettivi dell'APT Turla.

Recentemente, il Nobelium APT ha fatto notizia ancora una volta dopo la sua campagna di attacchi SolarWinds. Questa volta, stavano usando il nuovo malware FoggyWeb. Tuttavia, sembra che il Tomiris Backdoor Trojan sia un progetto completamente nuovo che, a differenza di FoggyWeb, è condiviso anche con altri APT. Porzioni significative del codice e delle funzioni di Tomiris sembrano essere simili a quelle trovate nel GoldMax Malware, attivo nel 2020.

A giudicare dalle funzionalità di Tomiris Backdoor Trojan, è probabile che venga utilizzato come payload secondario che fornisce agli aggressori un maggiore controllo sui sistemi che infettano. Proprio come GoldMax, anche questo malware è scritto nel linguaggio Go. Questo linguaggio di programmazione ha attirato sempre più l'attenzione dei criminali informatici a causa della sua grande compatibilità e del fatto che alcune funzionalità di sicurezza non sono ancora così efficaci contro i programmi Go.

Il Trojan Tomiris Backdoor guadagna anche persistenza attraverso la creazione di attività pianificate. Dopo aver identificato oltre 100 vittime del Trojan Tomiris Backdoor, i ricercatori riferiscono che molte delle vittime avevano anche il Kazuar Backdoor attivo sulla loro rete. Non è ancora chiaro se si tratti di una coincidenza o se gli hacker Nobelium e Kazuar stiano lavorando fianco a fianco. L'attività di questo Trojan backdoor può essere fatta risalire a gennaio 2021, ma il suo sviluppo è stato probabilmente terminato prima.