Siber güvenlik araştırmacıları tarafından, Nobelium/DarkHalo APT grubu tarafından tasarlandığı ve geliştirildiği iddia edilen daha önce belgelenmemiş bir backdoor tespit edilmiştir. Kaspersky araştırmacıları, Orion platformunu hedef alan zararlı yazılımı, aynı kampanya sırasında kullanılan SUNSHUTTLE zararlı yazılımı ile benzerliklerine dikkat çekerek “Tomiris” olarak adlandırmıştır.
Söz konusu saldırı kampanyası, tehdit aktörlerinin dikkati ve hedeflerin yüksek profilli olması nedeniyle diğerlerinden farklı olarak öne çıkmaktadır. Kaspersky tarafından Haziran 2021 tarihinde bulunan Tomiris backdoor da tıpkı SUNSHUTTLE gibi Go’da yazılmıştır ve başarılı bir DNS hijacking saldırısı yoluyla dağıtılmaktadır. Kurumsal bir e-posta hizmetinin oturum açma sayfasına erişmeye çalışan hedefler, ziyaretçileri bir güvenlik güncellemesi adı altında zararlı yazılımı indirmeleri için tasarlanmış, benzer bir arayüze sahip sahte bir alana yönlendirilmektedir. Ardından daha önce bilinmeyen bir zararlı yazılım ailesinin indiricisi olan ve şimdi Tomiris olarak bilinen yürütülebilir bir dosya hedef sistemlere indirilmektedir.
İki zararlı yazılımında Go’da geliştirilmiş olması, yapılandırma dosyalarını kodlamak ve C2 sunucusuyla iletişim kurmak için aynı şifreleme/gizleme şemasının kullanılması, iki zararlı yazılımın da ağ etkinliği oluşturmamak için yürütme sırasında düzenli olarak uyuması gibi bir dizi özellik Tomiris ve SUNSHUTTLE yazılımlarının arkasındaki tehdit aktörlerinin aynı olduğunun varsayımına neden olmaktadır. Buna ek olarak yapılan araştırmalar neticesinde, Tomiris bulaşmış bir ağdaki diğer makinelere Kazuar backdoorun da bulaşmış olduğu tespit edilmiştir. Ancak, zararlı programlardan birinin diğerinin dağıtımına mı yol açtığı veya bunların iki bağımsız olaydan mı kaynaklandığı henüz bilinmemektedir.
Güvenlik araştırmacıları söz konusu zararlı yazılımları ve birbirleri ile olan olası bağlantıları incelemeye devam etmektedir. Bu tür zararlı yazılımlar kullanılarak gerçekleştirilebilecek saldırıların hedefi olmamak adına şüpheli görünen bağlantılara tıklanmaması, bilinmeyen taraflardan dosya indirilip yürütülmemesi ve güvenilir güvenlik çözümlerinin kullanılması tavsiye edilmektedir.
Tomiris Backdoor’a ilişkin tespit edilen bazı IoC bulguları:
FileHash-SHA256:
- 80721e6b2d6168cf17b41d2f1ab0f1e6e3bf4db585754109f3b7ff9931ae9e5b
- c9db4f661a86286ad47ad92dfb544b702dca8ffe1641e276b42bec4cde7ba9b4
- 8900cf88a91fa4fbe871385c8747c7097537f1b5f4a003418d84c01dc383dd75
IP-Domain:
- 185.193.127[.]92
- 185.193.126[.]172
- 51.195.68[.]217
- update.softhouse[.]store