Nobelium APT 帶出 Tomiris 後門木馬
Tomiris 後門木馬是一種新威脅,似乎被一個或多個高級持續威脅 (APT) 組織使用。儘管 Tomiris 後門木馬與 Nobelium APT 使用的惡意軟件之間存在顯著相似之處,但研究人員指出,其他 APT 也可能參與其中。例如,Tomiris 後門木馬的目標與之前是 Turla APT 目標的受害者資料重疊。
最近,Nobelium APT 在他們的 SolarWinds 攻擊活動之後再次成為新聞。這一次,他們使用了新的 FoggyWeb 惡意軟件。然而,Tomiris 後門木馬似乎是一個全新的項目,與 FoggyWeb 不同,它也與其他 APT 共享。 Tomiris 的代碼和功能的重要部分似乎與在 2020 年活躍的 GoldMax 惡意軟件中發現的相似。
從 Tomiris 後門木馬的功能來看,它很可能作為輔助負載使用,為攻擊者提供對他們感染的系統的更多控制。就像 GoldMax 一樣,這個惡意軟件也是用 Go 語言編寫的。這種編程語言由於其良好的兼容性,以及某些安全功能對 Go 程序仍然沒有那麼有效的事實,越來越受到網絡犯罪分子的關注。
Tomiris 後門木馬還通過創建計劃任務獲得持久性。在確定了 100 多名 Tomiris 後門木馬的受害者後,研究人員報告說,許多受害者的網絡上也有 Kazuar 後門程序。目前尚不清楚這是否是巧合,或者 Nobelium 和 Kazuar 黑客是否並肩工作。這個後門木馬的活動可以追溯到2021年1月,但它的開發可能比這更早完成。