„Nobelium APT“ išneša „Tomiris Backdoor“ Trojos arklys

„Tomiris Backdoor Trojan“ yra nauja grėsmė, kuria, atrodo, naudojasi viena ar kelios pažangios nuolatinės grėsmės (APT) grupės. Nors „Tomiris Backdoor Trojan“ ir kenkėjiškų programų, kurias naudojo „Nobelium APT“, yra daug panašumų, tyrėjai pastebi, kad gali būti įtrauktos ir kitos APT. Pavyzdžiui, „Tomiris Backdoor Trojan“ taikiniai sutampa su aukų profiliais, kurie anksčiau buvo „Turla APT“ taikiniai.

Neseniai „Nobelium APT“ dar kartą paskelbė naujienas po „SolarWinds“ atakos kampanijos. Šį kartą jie naudojo naują „FoggyWeb“ kenkėjišką programą. Tačiau atrodo, kad „Tomiris Backdoor Trojan“ yra visiškai naujas projektas, kuris, skirtingai nei „FoggyWeb“, yra bendrinamas ir su kitais APT. Atrodo, kad didelės Tomiris kodo ir funkcijų dalys yra panašios į tas, kurios randamos „GoldMax“ kenkėjiškoje programoje, kuri buvo aktyvi 2020 m.

Sprendžiant iš „Tomiris Backdoor Trojan“ funkcijų, jis greičiausiai bus naudojamas kaip antrinė naudingoji apkrova, suteikianti užpuolikams daugiau galimybių kontroliuoti užkrėstas sistemas. Kaip ir „GoldMax“, ši kenkėjiška programa taip pat parašyta „Go“ kalba. Ši programavimo kalba sulaukia vis daugiau kibernetinių nusikaltėlių dėmesio dėl savo didelio suderinamumo ir dėl to, kad tam tikros saugos funkcijos vis dar nėra tokios veiksmingos prieš „Go“ programas.

„Tomiris Backdoor“ Trojos arklys taip pat įgyja atkaklumo kurdamas suplanuotas užduotis. Nustatę daugiau nei 100 „Tomiris Backdoor Trojan“ aukų, tyrėjai praneša, kad daugelis aukų savo tinkle taip pat aktyviai naudojo „Kazuar Backdoor“. Dar neaišku, ar tai atsitiktinumas, ar „Nobelium“ ir „Kazuar“ įsilaužėliai dirba greta. Šio užpakalinio durų trojano veiklą galima atsekti 2021 m. Sausio mėn., Tačiau jos kūrimas tikriausiai buvo baigtas anksčiau.