Бэкдор Tomiris

На конференции SAS2021 наши эксперты рассказали о бэкдоре Tomiris, предположительно связанном с группировкой DarkHalo.

Наши эксперты нашли новый бэкдор, который уже используется злоумышленниками в целевых атаках. Бэкдор получил название Tomiris. По ряду признаков он похож на зловред Sunshuttle (он же GoldMax), который использовался группировкой DarkHalo (она же Nobelium) в атаке через цепочку поставок на клиентов компании SolarWinds.

Что умеет бэкдор Tomiris

Основная задача бэкдора Tomiris — доставка дополнительного вредоносного ПО на машину жертвы. Он постоянно опрашивает командный сервер злоумышленников, скачивает с него исполняемые файлы и запускает с указанными аргументами.

Кроме того, наши эксперты нашли вариант Tomiris, который умел похищать файлы. Зловред выбирал недавно созданные файлы с определенными расширениями (.doc, .docx, .pdf, .rar и так далее), а затем закачивал их на командный сервер.

Авторы бэкдора снабдили его рядом функций, цель которых — обмануть защитные технологии и запутать расследование инцидента. Так, попадая на компьютер, зловред ничего не делает целых девять минут — вероятно, для обмана механизмов детектирования на базе песочницы. Кроме того, внутри Tomiris не закодировано точного адреса командного сервера — он получает URL и порт от промежуточного звена.

Как Tomiris попадает на компьютер жертвы

Для доставки бэкдора на машину жертвы злоумышленники используют тактику перенаправления DNS-запросов. Каким-то образом (вероятно, получив учетные данные от контрольной панели на сайте регистратора доменных имен) они перенаправляют на собственные ресурсы трафик с почтовых серверов атакуемых организаций. В результате клиенты попадают на сайт, имитирующий оригинальную страницу логина для веб-интерфейса почтового сервиса.

Разумеется, введенные учетные данные незамедлительно попадали в руки злоумышленников. Однако иногда сайт выдавал нотификацию о необходимости установки обновления безопасности, без которого продолжить работу с сервисом невозможно. В качестве обновления скачивался загрузчик бэкдора Tomiris.

Больше технических подробностей о бэкдоре Tomiris вместе с индикаторами компрометации, а также признаки связи между Tomiris и инструментами группировки DarkHalo можно найти в посте на блоге Securelist.

Как оставаться в безопасности

Описанный метод доставки зловреда не сработает, если компьютер, с которого пользователь обращается к почтовому веб-интерфейсу, снабжен надежным защитным решением. Кроме того, активность операторов APT в корпоративной сети легко обнаружить при помощи сервиса Kaspersky Managed Detection and Response.

Советы