Nobelium APT brengt de Tomiris Backdoor Trojan naar buiten

De Tomiris Backdoor Trojan is een nieuwe bedreiging die lijkt te worden gebruikt door een of meer Advanced Persistent Threat (APT)-groepen. Hoewel er significante overeenkomsten zijn tussen de Tomiris Backdoor Trojan en malware die de Nobelium APT heeft gebruikt, merken onderzoekers op dat er ook andere APT's bij betrokken kunnen zijn. De doelen van de Tomiris Backdoor Trojan overlappen bijvoorbeeld met de profielen van slachtoffers die voorheen doelwit waren van de Turla APT.

Onlangs haalde het Nobelium APT opnieuw het nieuws na hun aanvalscampagne met SolarWinds. Deze keer gebruikten ze de nieuwe FoggyWeb Malware. Het lijkt er echter op dat de Tomiris Backdoor Trojan een geheel nieuw project is dat, in tegenstelling tot FoggyWeb, ook wordt gedeeld met andere APT's. Aanzienlijke delen van de code en functies van Tomiris lijken vergelijkbaar te zijn met die in de GoldMax Malware, die in 2020 actief was.

Afgaande op de functies van Tomiris Backdoor Trojan, zal het waarschijnlijk in gebruik komen als een secundaire payload die aanvallers meer controle geeft over de systemen die ze infecteren. Net als GoldMax is deze malware ook geschreven in de Go-taal. Deze programmeertaal trekt steeds meer aandacht van cybercriminelen vanwege de grote compatibiliteit en het feit dat bepaalde beveiligingsfuncties nog steeds niet zo effectief zijn tegen Go-programma's.

De Tomiris Backdoor Trojan wint ook aan persistentie door het creëren van geplande taken. Na het identificeren van meer dan 100 slachtoffers van de Tomiris Backdoor Trojan, melden onderzoekers dat veel van de slachtoffers de Kazuar Backdoor ook actief hadden op hun netwerk. Het is nog niet duidelijk of dit toeval is, of dat de hackers van Nobelium en Kazuar zij aan zij werken. De activiteit van deze backdoor-trojan is terug te voeren tot januari 2021, maar de ontwikkeling ervan was waarschijnlijk eerder voltooid.