Nobelium APT tar ut Tomiris Backdoor Trojan

Tomiris Backdoor Trojan är ett nytt hot som verkar vara i bruk av en eller flera grupper av Advanced Persistent Threat (APT). Även om det finns betydande likheter mellan Tomiris Backdoor Trojan och skadlig programvara som Nobelium APT har använt, konstaterar forskare att andra APT också kan vara inblandade. Till exempel överlappar målen för Tomiris Backdoor Trojan med profilerna för offer som tidigare var mål för Turla APT.

Nyligen gjorde Nobelium APT nyheterna igen efter deras SolarWinds -attackkampanj. Den här gången använde de den nya FoggyWeb Malware. Det verkar dock som att Tomiris Backdoor Trojan är ett helt nytt projekt som, till skillnad från FoggyWeb, delas med andra APT också. Betydande delar av Tomiris kod och funktioner verkar likna dem som finns i GoldMax Malware, som var aktiv 2020.

Av Tomiris Backdoor Trojans funktioner att döma kommer den troligtvis att användas som en sekundär nyttolast som ger angripare mer kontroll över systemen de infekterar. Precis som GoldMax är denna skadliga program också skriven på Go -språket. Detta programmeringsspråk har lockat mer och mer uppmärksamhet från cyberkriminella på grund av dess stora kompatibilitet och det faktum att vissa säkerhetsfunktioner fortfarande inte är så effektiva mot Go -program.

Tomiris Backdoor Trojan får också uthållighet genom att skapa schemalagda uppgifter. Efter att ha identifierat över 100 offer för Tomiris Backdoor Trojan, rapporterar forskare att många av offren också hade Kazuar Backdoor aktiv i sitt nätverk. Det är ännu inte klart om detta är en slump, eller om Nobelium- och Kazuar -hackarna arbetar sida vid sida. Aktiviteten hos denna bakdörr Trojan kan spåras tillbaka till januari 2021, men utvecklingen var förmodligen klar tidigare än så.