Специалисты «Лаборатории Касперского» описали новый бэкдор Tomiris, который уже используется злоумышленниками в целевых атаках. По ряду признаков он похож на малварь Sunshuttle (он же GoldMax), которая использовалась группировкой DarkHalo (она же Nobelium, APT 29, Cozy Bear или The Dukes) в нашумевшей атаке на клиентов компании SolarWinds.
Tomiris был найден в ходе расследовании серии атак с перехватом DNS-запросов, нацеленных на несколько правительственных зон в странах СНГ (в период с декабря 2020 года по январь 2021 года), что позволяло злоумышленникам перенаправить трафик с государственных почтовых серверов на машины, находящиеся под их контролем.
Основная задача бэкдора Tomiris — доставка дополнительной малвари на машину жертвы. Он постоянно опрашивает командный сервер злоумышленников, скачивает с него исполняемые файлы и запускает с указанными аргументами. Кроме того, эксперты нашли вариант Tomiris, который умел похищать файлы. Вредонос выбирал недавно созданные файлы с определенными расширениями (.doc, .docx, .pdf, .rar и так далее), а затем закачивал их на командный сервер.
Сообщается, что авторы бэкдора снабдили его рядом функций, цель которых — обмануть защитные технологии и запутать расследование инцидента. Так, попадая на компьютер, он ничего не делает девять минут — вероятно, для обмана механизмов детектирования на базе песочницы. Кроме того, внутри Tomiris не закодировано точного адреса командного сервера — он получает нужный URL и порт от промежуточного звена.
Для доставки бэкдора на машину жертвы злоумышленники используют тактику перенаправления DNS-запросов. Неким образом (вероятно, получив учетные данные от контрольной панели на сайте регистратора доменных имен) они перенаправляют на собственные ресурсы трафик с почтовых серверов атакуемых организаций. В результате клиенты попадают на сайт, имитирующий оригинальную страницу логина и веб-интерфейс почтового сервиса.
Разумеется, введенные на такой странице учетные данные незамедлительно попадают в руки злоумышленников. Однако иногда сайт также уведомлял и о необходимости установки обновления безопасности, без которого продолжить работу с сервисом якобы невозможно. В качестве такого «обновления» тоже скачивался загрузчик бэкдора Tomiris.
Предполагается, что авторы вышеупомянутой малвари Sunshuttle начали разработку Tomiris примерно в декабре 2020 года, когда была обнаружена атака на клиентов SolarWinds, и хакерам потребовалась замена для «засвеченного» набора инструментов.
Напомню, что на этой неделе специалисты компании Microsoft так же обнаружили новую малварь этой группировки. Вредонос FoggyWeb используется для развертывания дополнительных пейлоадов и кражи конфиденциальной информации с серверов Active Directory Federation Services (AD FS).
