ノーベリウムAPTはトミュリスバックドアトロイの木馬を引き出します
Tomiris Backdoor Trojanは、1つ以上のAdvanced Persistent Threat(APT)グループによって使用されているように見える新しい脅威です。 Tomiris BackdoorTrojanとNobeliumAPTが使用したマルウェアの間には大きな類似点がありますが、研究者は他のAPTも関与している可能性があると指摘しています。たとえば、Tomiris Backdoor Trojanのターゲットは、以前はTurlaAPTのターゲットであった被害者のプロファイルと重複しています。
最近、Nobelium APTは、SolarWinds攻撃キャンペーンの後で再びニュースを発表しました。今回は、新しいFoggyWebマルウェアを使用していました。ただし、Tomiris Backdoor Trojanは、FoggyWebとは異なり、他のAPTとも共有されるまったく新しいプロジェクトのようです。トミュリスのコードと機能の重要な部分は、2020年に活動していたGoldMaxマルウェアに見られるものと類似しているようです。
Tomiris Backdoor Trojanの機能から判断すると、攻撃者が感染するシステムをより細かく制御できるようにするセカンダリペイロードとして使用される可能性があります。 GoldMaxと同様に、このマルウェアもGo言語で記述されています。このプログラミング言語は、その優れた互換性と、特定のセキュリティ機能がGoプログラムに対してまだそれほど効果的ではないという事実のために、サイバー犯罪者からますます注目を集めています。
Tomiris Backdoor Trojanは、スケジュールされたタスクを作成することで永続性も獲得します。 Tomiris Backdoor Trojanの100人以上の犠牲者を特定した後、研究者は、犠牲者の多くがネットワーク上でもKazuarBackdoorをアクティブにしていたと報告しています。これが偶然なのか、それともノーベリウムとカズールのハッカーが並んで働いているのかはまだ明らかではありません。このバックドア型トロイの木馬の活動は2021年1月までさかのぼることができますが、その開発はおそらくこれよりも早く終了しました。