Nobelium APT 带出 Tomiris 后门木马
Tomiris 后门木马是一种新威胁,似乎被一个或多个高级持续威胁 (APT) 组织使用。尽管 Tomiris 后门木马与 Nobelium APT 使用的恶意软件之间存在显着相似之处,但研究人员指出,其他 APT 也可能参与其中。例如,Tomiris 后门木马的目标与之前是 Turla APT 目标的受害者资料重叠。
最近,Nobelium APT 在他们的 SolarWinds 攻击活动之后再次成为新闻。这一次,他们使用了新的 FoggyWeb 恶意软件。然而,Tomiris 后门木马似乎是一个全新的项目,与 FoggyWeb 不同,它也与其他 APT 共享。 Tomiris 的代码和功能的重要部分似乎与在 2020 年活跃的 GoldMax 恶意软件中发现的相似。
从 Tomiris 后门木马的功能来看,它很可能作为辅助负载使用,为攻击者提供对他们感染的系统的更多控制。就像 GoldMax 一样,这个恶意软件也是用 Go 语言编写的。这种编程语言由于其良好的兼容性,以及某些安全功能对 Go 程序仍然没有那么有效的事实,越来越受到网络犯罪分子的关注。
Tomiris 后门木马还通过创建计划任务获得持久性。在确定了 100 多名 Tomiris 后门木马的受害者后,研究人员报告说,许多受害者的网络上也有 Kazuar 后门程序。目前尚不清楚这是否是巧合,或者 Nobelium 和 Kazuar 黑客是否并肩工作。这个后门木马的活动可以追溯到2021年1月,但它的开发可能比这更早完成。