Los investigadores de seguridad cibernética revelaron el miércoles una puerta trasera no documentada anteriormente, probablemente diseñada y desarrollada por la amenaza persistente avanzada Nobelium (APT) detrás del ataque del año pasado a la cadena de suministro de SolarWinds, que se une a un arsenal en constante expansión de herramientas de piratería.
Kaspersky, con sede en Moscú, tiene este malware con nombre en código.Tomiris«, expresando su parecido con otro malware de segunda etapa utilizado durante la campaña, SUNSHUTTLE (también conocido como GoldMax), dirigido a la plataforma Orion del proveedor de software de gestión de TI. Nobelium también se conoce como UNC2452, SolarStorm, StellarParticle, Dark Halo y Iron. Ritual.
«Si bien los ataques a la cadena de suministro ya han sido un vector de ataque documentado utilizado por muchos actores de APT, esta campaña específica se destacó debido a la extrema precaución de los atacantes y la alta naturaleza de sus víctimas», dijeron los investigadores de Kaspersky. «La evidencia reunida hasta ahora sugiere que Dark Halo ha pasado seis meses en las redes de TI de Orion para mejorar su ataque y garantizar que la manipulación de la cadena de ensamblaje no cause ningún efecto adverso».
Microsoft, que describió SUNSHUTTLE en detalle en marzo de 2021, describió la variedad como malware basado en Golang que actúa como una puerta trasera para comandos y controles, estableciendo una conexión segura a un servidor controlado por un atacante para recuperar y ejecutar comandos arbitrarios en una computadora infectada como así como filtrar archivos del sistema al servidor.
La nueva puerta trasera de Tomiris, encontrada por Kaspersky en junio de este año a partir de muestras con fecha de febrero, también está escrita en Go y se implementó a través de un exitoso ataque de secuestro de DNS, durante el cual los objetivos que intentaban acceder a la página de inicio de sesión del servicio de correo electrónico corporativo fueron redirigidos a un dominio fraudulento. configurado con una interfaz similar para que los visitantes descarguen malware bajo la apariencia de una actualización de seguridad.
Se cree que los ataques tuvieron lugar contra varias organizaciones gubernamentales en un Estado miembro no identificado de la CEI.
«El objetivo principal de las puertas traseras era generar soporte en el sistema comprometido y descargar otros componentes maliciosos», dijeron los investigadores, y señalaron que encontraron una serie de similitudes entre el esquema de cifrado y los mismos errores ortográficos, que en conjunto sugieren «co- prácticas de autoría o desarrollo compartido”.
Esta no es la primera vez que se descubren superposiciones entre las diversas herramientas utilizadas por el actor de amenazas. A principios de este año, el análisis Sunburst de Kaspersky reveló una serie de características compartidas entre el malware y Kazuar, una puerta trasera basada en .NET atribuida al Grupo Turla. Curiosamente, la empresa de ciberseguridad dijo que detectó a Tomiris en redes donde otras máquinas estaban infectadas con Kazuar, lo que aumenta las posibilidades de que las tres familias de malware puedan estar interconectadas.
Sin embargo, los investigadores señalaron que también podría tratarse de un ataque bajo bandera falsa, donde los actores en riesgo reproducen intencionalmente las tácticas y técnicas adoptadas por un oponente conocido en un intento de engañar.
La revelación se produce días después de que Microsoft empaquetó un implante pasivo y altamente específico llamado FoggyWeb, que Nobelium empleó para proporcionar cargas útiles adicionales y robar información confidencial de los servidores de Active Directory Federation Services (AD FS).
