Tomiris Backdoor Trojan

Les chercheurs d'Infosec ont découvert un nouveau cheval de Troie de porte dérobée nommé Tomiris qui pourrait avoir des liens avec le tristement célèbre groupe NOBELIUM APT (Advanced Persistent Threat). L'année dernière, NOBELIUM a lancé une attaque de chaîne d'approvisionnement contre la grande entreprise informatique américaine SolarWinds. Dans le cadre de l'opération, les pirates ont utilisé plusieurs menaces de logiciels malveillants hautement ciblées et personnalisées. L'attribution de Tomiris à NOBELIUM n'a pas été prouvée de manière concluante ; cependant, la menace partage également certaines similitudes avec Kazuar, l' une des portes dérobées liées au NOBELIUM APT.

Campagne d'attaque

Les opérations menaçantes impliquant Tomiris ont affecté plusieurs entités gouvernementales appartenant à l'un des États membres de la CEI. Grâce au piratage DNS, l'acteur malveillant a pu rediriger le trafic des serveurs de messagerie officiels du gouvernement vers les machines sous son contrôle. Pour les visiteurs sans connaissances suffisantes, faire la distinction entre les fausses pages et les originales aurait pu s'avérer extrêmement difficile, car ils se connectaient à l'URL familière et arrivaient à une page sécurisée. Une fois redirigés vers la page de l'imposteur, les visiteurs sans méfiance ont été invités à télécharger une mise à jour logicielle corrompue portant la porte dérobée Tomiris.

Une fonctionnalité menaçante et des similitudes avec Sunshuttle/GoldMax

Les principales fonctions de Tomiris consistent à établir sa présence sur le système compromis, puis à fournir une charge utile de prochaine étape d'une menace malveillante non encore identifiée. En analysant le comportement et le code sous-jacent de Tomiris, les chercheurs ont commencé à remarquer de nombreuses similitudes avec le logiciel malveillant Sunshuttle de deuxième étape utilisé par NOBELIUM dans l'attaque SolarWinds. Celles-ci incluent à la fois des menaces écrites dans le langage de programmation Go, utilisant des méthodes de cryptage/obscurcissement uniques, établissant la persistance via des tâches planifiées et utilisant des délais de veille pour masquer leurs activités intrusives. De plus, les deux menaces se ressemblent également dans la manière dont leur flux général d'action est structuré.