Nobelium APT udostępnia trojana typu backdoor Tomiris

Trojan backdoor Tomiris to nowe zagrożenie, które wydaje się być wykorzystywane przez co najmniej jedną grupę Advanced Persistent Threat (APT). Chociaż istnieją znaczne podobieństwa między trojanem Tomiris Backdoor a złośliwym oprogramowaniem używanym przez APT Nobelium, badacze zauważają, że inne APT mogą być również zaangażowane. Na przykład cele trojana Tomiris Backdoor pokrywają się z profilami ofiar, które wcześniej były celami APT Turla.

Niedawno Nobelium APT ponownie pojawiło się w wiadomościach po swojej kampanii ataku SolarWinds. Tym razem używali nowego złośliwego oprogramowania FoggyWeb. Wygląda jednak na to, że trojan Tomiris Backdoor to zupełnie nowy projekt, który w przeciwieństwie do FoggyWeb jest również udostępniany innym APT-om. Znaczne fragmenty kodu i funkcji Tomirisa wydają się być podobne do tych znalezionych w GoldMax Malware, który był aktywny w 2020 roku.

Sądząc po funkcjach trojana Tomiris Backdoor, prawdopodobnie będzie on używany jako dodatkowy ładunek, który zapewnia atakującym większą kontrolę nad zainfekowanymi systemami. Podobnie jak GoldMax, to złośliwe oprogramowanie jest również napisane w języku Go. Ten język programowania przyciąga coraz większą uwagę cyberprzestępców ze względu na jego doskonałą kompatybilność oraz fakt, że niektóre funkcje bezpieczeństwa nadal nie są tak skuteczne w przypadku programów Go.

Trojan Backdoor Tomiris również zyskuje na trwałości dzięki tworzeniu zaplanowanych zadań. Po zidentyfikowaniu ponad 100 ofiar trojana Tomiris Backdoor, badacze donoszą, że wiele z ofiar miało również aktywny backdoor Kazuar w swojej sieci. Nie jest jeszcze jasne, czy to przypadek, czy też hakerzy Nobelium i Kazuar pracują ramię w ramię. Aktywność tego trojana typu backdoor można prześledzić od stycznia 2021 r., ale jego rozwój prawdopodobnie zakończył się wcześniej.