La backdoor Tomiris

Alla conferenza SAS 2021, i nostri esperti hanno parlato della backdoor Tomiris, che sembra essere legata al gruppo DarkHalo.

I nostri esperti hanno trovato una nuova backdoor che i criminali informatici stanno già utilizzando in attacchi mirati. La backdoor, chiamata Tomiris, è simile, per certi aspetti, a Sunshuttle (ossia GoldMax), malware che DarkHalo (ossia Nobelium) ha usato in un attacco alla supply chain contro i clienti SolarWinds.

Le funzionalità di Tomiris

Il compito principale della backdoor Tomiris è quello di distribuire ulteriori malware al dispositivo della vittima. È in costante comunicazione con il server C&C dei criminali informatici e scarica i file eseguibili, che applica con elementi specifici.

I nostri esperti hanno anche trovato una variante di file rubati. Il malware ha selezionato i file creati di recente con determinate estensioni (.doc, .docx, .pdf, .rar e altri) e li ha caricati sul server C&C.

I creatori della backdoor l’hanno fornita di varie caratteristiche, in modo tale da ingannare le tecnologie di sicurezza e fuorviare gli investigatori. Per esempio, alla consegna, il malware per ben 9 minuti non fa nulla, un ritardo che probabilmente è in grado di ingannare qualsiasi meccanismo di rilevamento basato su sandbox. Inoltre, l’indirizzo del server C&C non è codificato direttamente in Tomiris, l’URL e le informazioni sulla porta provengono da un server di segnalazione.

Come Tomiris riesce ad accedere ai computer

Per consegnare la backdoor, i criminali informatici usano il DNS hijacking per reindirizzare il traffico dai server di posta delle organizzazioni bersaglio ai propri siti dannosi (probabilmente ottenendo le credenziali per il pannello di controllo sul sito del registrar del nome di dominio). In questo modo, possono attirare i clienti su una pagina che sembra la pagina di login del vero servizio di posta. Naturalmente, quando qualcuno inserisce le credenziali sulla pagina falsa, i criminali informatici le ottengono immediatamente.

Naturalmente, i siti a volte richiedono agli utenti di installare un aggiornamento di sicurezza per poter funzionare. In questo caso, l’aggiornamento era in realtà il download di Tomiris.

Per maggiori dettagli tecnici sulla backdoor Tomiris, insieme agli indicatori di compromissione e ai collegamenti osservati tra Tomiris e gli strumenti DarkHalo, leggete il nostro post su Securelist.

Come stare al sicuro

Il metodo di consegna del malware sopra descritto non funzionerà se il computer che accede all’interfaccia di posta è protetto da una robusta soluzione di sicurezza. Inoltre, qualsiasi attività degli operatori APT nella rete aziendale può essere rilevata con l’aiuto degli esperti che lavorano con Kaspersky Managed Detection and Response.

Consigli