新发现的Tomiris后门与SolarWinds网络攻击背后的黑客有关

网络安全研究人员周三披露了一个之前未经记录的后门，该后门可能是由去年SolarWinds供应链攻击背后的Nobelium advanced persistent threat（APT）设计和开发的，加入了威胁参与者不断扩大的黑客工具库。

总部位于莫斯科的卡巴斯基公司代号为“恶意软件”托米里斯“Nobelium与该活动中使用的另一个第二阶段恶意软件SUNSHUTTLE（又名GoldMax）相似，其目标是IT管理软件提供商的猎户座平台。Nobelium也被命名为UNC2452、SolarStorm、StellarParticle、Dark Halo和Iron Rice。

“虽然供应链攻击已经是一个文件化攻击向量利用了一些APT演员，这一特定的运动突出，由于极端的谨慎和他们的受害者高调性质，”卡巴斯基研究人员说。“到目前为止收集的证据表明，Dark Halo在猎户座IT网络中花费了六个月的时间来完善他们的攻击，并确保他们对构建链的篡改不会造成任何负面影响。”

微软在2021年3月详述了SunTrac，描述了GRang-Basic恶意软件作为命令和控制后门的作用，与攻击者控制的服务器建立安全连接，以获取和执行受损机器上的任意命令，以及从系统向服务器发出文件。

卡巴斯基今年6月从2月份的样本中发现了新的Tomiris后门，它也是用Go编写的，并通过成功的DNS劫持攻击进行部署，在此攻击期间，试图访问公司电子邮件服务登录页面的目标被重定向到一个欺诈域，该域设置了一个外观相似的界面，旨在诱骗访问者以安全更新的名义下载恶意软件。

这些袭击据信是针对一个未具名的独联体成员国的几个政府组织发动的。

“后门的主要目的是在被攻击的系统中建立立足点，并下载其他恶意组件，”研究人员说，除了发现从加密方案到相同拼写错误的许多相似之处之外，这些错误共同暗示了“共同作者或共享开发实践的可能性”

这不是第一次发现威胁参与者使用的不同工具之间存在重叠。今年早些时候，卡巴斯基对Sunburst的分析揭示了该恶意软件与Kazuar之间的一些共同特征。基于网络的后门属于图拉集团。有趣的是，这家网络安全公司表示，它在其他机器感染Kazuar的网络中检测到了Tomiris，增加了三个恶意软件家族相互关联的可能性。

尽管如此，研究人员指出，这也可能是一种虚假的旗帜攻击，其中威胁行为人故意复制已知对手所采用的战术和技术，试图误导归因。

几天前，微软公开了一种被称为FoggyWeb的被动、高针对性植入物，Nobelium集团利用该植入物提供额外的有效载荷，并从Active Directory Federation Services（AD FS）服务器窃取敏感信息。