Nobelium APT traz o cavalo de Troia Tomiris Backdoor

O cavalo de Troia Tomiris Backdoor é uma nova ameaça que parece estar em uso por um ou mais grupos APT (Advanced Persistent Threat). Embora existam semelhanças significativas entre o cavalo de Troia Tomiris Backdoor e o malware que o Nobelium APT usou, os pesquisadores observaram que outros APTs também podem estar envolvidos. Por exemplo, os alvos do cavalo de Troia Tomiris Backdoor se sobrepõem aos perfis das vítimas que anteriormente eram alvos do Turla APT.

Recentemente, o Nobelium APT foi notícia mais uma vez após sua campanha de ataque ao SolarWinds. Desta vez, eles estavam usando o novo Malware FoggyWeb. No entanto, parece que o Tomiris Backdoor Trojan é um projeto inteiramente novo que, ao contrário do FoggyWeb, também é compartilhado com outros APTs. Partes significativas do código e funções do Tomiris parecem ser semelhantes às encontradas no GoldMax Malware, que estava ativo em 2020.

A julgar pelos recursos do cavalo de Troia Tomiris Backdoor, é provável que ele seja usado como uma carga secundária que fornece aos invasores mais controle sobre os sistemas que infectam. Assim como o GoldMax, esse malware também é escrito na linguagem Go. Essa linguagem de programação tem atraído cada vez mais a atenção dos cibercriminosos devido à sua grande compatibilidade e ao fato de que certos recursos de segurança ainda não são tão eficazes contra os programas Go.

O cavalo de Troia Tomiris Backdoor também ganha persistência por meio da criação de tarefas agendadas. Depois de identificar mais de 100 vítimas do cavalo de Troia Tomiris Backdoor, os pesquisadores relataram que muitas das vítimas também tinham o Backdoor Kazuar ativo em sua rede. Ainda não está claro se isso é uma coincidência ou se os hackers Nobelium e Kazuar estão trabalhando lado a lado. A atividade desse cavalo de Tróia backdoor pode ser rastreada até janeiro de 2021, mas seu desenvolvimento provavelmente foi concluído antes disso.