in

La nueva puerta trasera de Tomiris probablemente desarrollada por piratas informáticos de SolarWinds


La nueva puerta trasera de Tomiris probablemente desarrollada por piratas informáticos de SolarWinds

Los investigadores de seguridad de Kaspersky han descubierto una nueva puerta trasera, probablemente desarrollada por el grupo de piratería Nobelium detrás del ataque a la cadena de suministro de SolarWinds el año pasado.

Esto es consecuencia de otro informe de Microsoft publicado hace dos días que detallaba FoggyWeb, una puerta trasera «pasiva y muy específica» desarrollada y utilizada por el mismo grupo para extraer información confidencial de servidores AD FS comprometidos para extraerla de forma remota.

El nuevo malware encontrado por Kaspersky, llamado Tomiris, se detectó por primera vez en junio, aunque las primeras muestras se desplegaron en la naturaleza en febrero de 2021, un mes antes de que se encontrara la “puerta trasera elaborada de segunda etapa” de FireEye y se asociara con Nobelium.

Tomiris fue descubierto mientras investigaba una serie de ataques de secuestro de DNS entre diciembre de 2020 y enero de 2021 que tenían como objetivo varias zonas gubernamentales de un estado de la CEI.

Sus víctimas fueron redirigidas a páginas de inicio de sesión de correo web que ayudaron a los atacantes a robar sus credenciales de correo electrónico y, en algunos casos, se les pidió que instalaran una actualización de malware que, en su lugar, descargaba la puerta trasera de Tomiris previamente desconocida.

“Durante estos períodos, los servidores DNS relevantes para las zonas mencionadas anteriormente se cambiaron a resolutores controlados por atacantes. En su mayor parte, estos secuestros fueron relativamente breves y aparentemente se dirigieron principalmente a los servidores de correo de las organizaciones afectadas ”, dijo Kaspersky.

«No sabemos cómo el actor de amenazas logró hacer esto, pero sospechamos que de alguna manera obtuvieron credenciales para el panel de control del registrador utilizado por las víctimas».

Página de inicio de sesión de correo web malicioso utilizada para apuntar a Tomiris.  entregar
Imagen: Kaspersky

Enlaces al malware Sunshuttle producido por Nobelium

Una vez implementado en un sistema, Tomiris consulta repetidamente un servidor de comando y control en busca de más cargas útiles maliciosas para ejecutar en el dispositivo comprometido y permite a sus operadores afianzarse en la red de la víctima.

Otra variante es recopilar y exfiltrar documentos de sistemas comprometidos, cargando automáticamente archivos actualizados que coincidan con las extensiones deseadas, incluidas .doc, .docx, .pdf, .rar y más.

Kaspersky encontró muchas similitudes entre las dos puertas traseras (por ejemplo, ambas desarrolladas en Go, persistencia a través de tareas planificadas, mismo esquema de codificación para la comunicación C2, activadores de suspensión automatizados para reducir el ruido de la red).

También descubrieron la puerta trasera Kazuar, que comparte funcionalidad con el malware Sunburst utilizado en el ataque SolarWinds en la misma red que Tomiris.

Aun así, los investigadores no han vinculado de manera concluyente la nueva puerta trasera con los piratas informáticos estatales del Nobelium respaldados por Rusia, dado el potencial de un ataque de bandera falsa diseñado para engañar a los investigadores de malware.

«Si bien es posible que otras APT supieran de la existencia de esta herramienta en este momento, creemos que es poco probable que intenten imitarla incluso antes de su lanzamiento», agregó Kaspersky.

«Una hipótesis mucho más probable (pero aún no confirmada) es que los escritores de Sunshuttle comenzaron a desarrollar Tomiris alrededor de diciembre de 2020 cuando se descubrió la operación SolarWinds como reemplazo de su conjunto de herramientas quemadas».

Conexión Sunshuttle Kazuar de Tomiri
Imagen: Kapersky

¿Quién es Nobelium?

Nobelium, el grupo de piratería que llevó a cabo el ataque a la cadena de suministro de SolarWinds que comprometió a varias agencias federales de EE. UU., Es la división de piratería del Servicio de Inteligencia Exterior de Rusia (SVR), también conocida como APT29, The Dukes o Cozy Bear Will.

En abril de 2021, el gobierno de EE. UU. Acusó oficialmente al departamento de SVR de coordinar la “campaña de ciberespionaje de gran alcance” de SolarWinds.

La firma de ciberseguridad Volexity también ha vinculado los ataques a los operadores del mismo grupo de hackers, basándose en tácticas que han utilizado en incidentes anteriores desde 2018.

En mayo, los investigadores de Microsoft revelaron otras cuatro familias de malware que Nobelium usa en otros ataques: un descargador de malware llamado «BoomBox», un descargador y lanzador de shellcode llamado «VaporRage», un archivo adjunto HTML malicioso llamado «EnvyScout» y un cargador llamado «NativeZone» .

En marzo, describieron otras tres cepas de malware Nobelium que se utilizan para mantener la persistencia en redes comprometidas: una puerta trasera de comando y control llamada «GoldMax», una herramienta de rastreo HTTP que rastrea como es «GoldFinder», una herramienta de persistencia y un lanzador de malware llamado » Sibot «. ‘

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

CISA y NSA publican pautas para proteger las VPN

Las mejores formas de almacenar contraseñas de forma segura