Nobelium APT выявляет трояна Tomiris Backdoor

Троян Tomiris Backdoor - это новая угроза, которая, по всей видимости, используется одной или несколькими группами Advanced Persistent Threat (APT). Хотя есть существенное сходство между троянцем Tomiris Backdoor и вредоносным ПО, используемым Nobelium APT, исследователи отмечают, что другие APT также могут быть задействованы. Например, цели троянца Tomiris Backdoor пересекаются с профилями жертв, которые ранее были целями APT Turla.

Недавно Nobelium APT снова попал в новости после своей кампании атаки SolarWinds. На этот раз они использовали новое вредоносное ПО FoggyWeb. Однако похоже, что троян Tomiris Backdoor - это совершенно новый проект, который, в отличие от FoggyWeb, используется также и другими APT. Значительные части кода и функций Tomiris похожи на те, что были найдены в GoldMax Malware, который был активен в 2020 году.

Судя по особенностям троянца Tomiris Backdoor, он, скорее всего, будет использоваться в качестве дополнительной полезной нагрузки, которая дает злоумышленникам больший контроль над зараженными системами. Как и GoldMax, эта вредоносная программа также написана на языке Go. Этот язык программирования привлекает все больше и больше внимания киберпреступников из-за его отличной совместимости и того факта, что некоторые функции безопасности все еще не так эффективны против программ Go.

Троян Tomiris Backdoor также приобретает живучесть за счет создания запланированных задач. После выявления более 100 жертв трояна Tomiris Backdoor, исследователи сообщают, что многие из жертв также использовали в своей сети бэкдор Kazuar. Пока не ясно, является ли это совпадением, или хакеры Nobelium и Kazuar работают бок о бок. Активность этого троянца-бэкдора можно проследить до января 2021 года, но его разработка, вероятно, была завершена раньше этого времени.