I ricercatori della sicurezza informatica mercoledì hanno rivelato una backdoor precedentemente non documentata probabilmente progettata e sviluppata dal Nobelium Advanced Persistent Threat (APT) dietro l' attacco alla catena di approvvigionamento SolarWinds dello scorso anno , unendosi all'arsenale in continua espansione di strumenti di hacking dell'attore della minaccia.
L'azienda con sede a Mosca Kaspersky ha chiamato il malware " Tomiris " , definendo le sue somiglianze con un altro malware di seconda fase utilizzato durante la campagna, SUNSHUTTLE (alias GoldMax), che prende di mira la piattaforma Orion del fornitore di software di gestione IT. Nobelium è anche conosciuto con i moniker UNC2452, SolarStorm, StellarParticle, Dark Halo e Iron Ritual.
"Mentre gli attacchi alla catena di approvvigionamento erano già un vettore di attacco documentato sfruttato da un certo numero di attori APT, questa specifica campagna si è distinta per l'estrema attenzione degli aggressori e la natura di alto profilo delle loro vittime", hanno affermato i ricercatori di Kaspersky . "Le prove raccolte finora indicano che Dark Halo ha trascorso sei mesi all'interno delle reti di Orion IT per perfezionare il loro attacco e assicurarsi che la manomissione della catena di costruzione non provocasse alcun effetto negativo".
Microsoft, che ha dettagliato SUNSHUTTLE nel marzo 2021, ha descritto il ceppo come un malware basato su Golang che funge da backdoor di comando e controllo, stabilendo una connessione sicura con un server controllato da un aggressore per recuperare ed eseguire comandi arbitrari sulla macchina compromessa come nonché esfiltrare i file dal sistema al server.
Anche la nuova backdoor Tomiris, trovata da Kaspersky nel giugno di quest'anno da campioni risalenti a febbraio, è scritta in Go e implementata tramite un attacco di dirottamento DNS riuscito durante il quale gli obiettivi che tentavano di accedere alla pagina di accesso di un servizio di posta elettronica aziendale sono stati reindirizzati a un dominio fraudolento configurato con un'interfaccia simile progettata per indurre i visitatori a scaricare il malware con il pretesto di un aggiornamento di sicurezza.
Si ritiene che gli attacchi siano stati organizzati contro diverse organizzazioni governative in uno stato membro della CSI senza nome .
"Lo scopo principale della backdoor era stabilire un punto d'appoggio nel sistema attaccato e scaricare altri componenti dannosi", hanno affermato i ricercatori, oltre a trovare una serie di somiglianze che vanno dallo schema di crittografia agli stessi errori di ortografia che collettivamente suggeriscono la "possibilità di paternità comune o pratiche di sviluppo condivise".
Questa non è la prima volta che vengono scoperte sovrapposizioni tra i diversi strumenti utilizzati dall'autore della minaccia. All'inizio di quest'anno, l' analisi di Kaspersky su Sunburst ha rivelato una serie di funzionalità condivise tra il malware e Kazuar, una backdoor basata su .NET attribuita al gruppo Turla. È interessante notare che la società di sicurezza informatica ha affermato di aver rilevato Tomiris in reti in cui altre macchine sono state infettate da Kazuar, aggiungendo peso alle prospettive che le tre famiglie di malware possano essere collegate tra loro.
Detto questo, i ricercatori hanno sottolineato che potrebbe anche trattarsi di un attacco false flag, in cui gli attori della minaccia riproducono deliberatamente le tattiche e le tecniche adottate da un noto avversario nel tentativo di fuorviare l'attribuzione.
La rivelazione arriva giorni dopo che Microsoft ha preso in carico un impianto passivo e altamente mirato soprannominato FoggyWeb che è stato impiegato dal gruppo Nobelium per fornire payload aggiuntivi e rubare informazioni sensibili dai server Active Directory Federation Services (ADFS).
L'azienda con sede a Mosca Kaspersky ha chiamato il malware " Tomiris " , definendo le sue somiglianze con un altro malware di seconda fase utilizzato durante la campagna, SUNSHUTTLE (alias GoldMax), che prende di mira la piattaforma Orion del fornitore di software di gestione IT. Nobelium è anche conosciuto con i moniker UNC2452, SolarStorm, StellarParticle, Dark Halo e Iron Ritual.
"Mentre gli attacchi alla catena di approvvigionamento erano già un vettore di attacco documentato sfruttato da un certo numero di attori APT, questa specifica campagna si è distinta per l'estrema attenzione degli aggressori e la natura di alto profilo delle loro vittime", hanno affermato i ricercatori di Kaspersky . "Le prove raccolte finora indicano che Dark Halo ha trascorso sei mesi all'interno delle reti di Orion IT per perfezionare il loro attacco e assicurarsi che la manomissione della catena di costruzione non provocasse alcun effetto negativo".
Microsoft, che ha dettagliato SUNSHUTTLE nel marzo 2021, ha descritto il ceppo come un malware basato su Golang che funge da backdoor di comando e controllo, stabilendo una connessione sicura con un server controllato da un aggressore per recuperare ed eseguire comandi arbitrari sulla macchina compromessa come nonché esfiltrare i file dal sistema al server.
Anche la nuova backdoor Tomiris, trovata da Kaspersky nel giugno di quest'anno da campioni risalenti a febbraio, è scritta in Go e implementata tramite un attacco di dirottamento DNS riuscito durante il quale gli obiettivi che tentavano di accedere alla pagina di accesso di un servizio di posta elettronica aziendale sono stati reindirizzati a un dominio fraudolento configurato con un'interfaccia simile progettata per indurre i visitatori a scaricare il malware con il pretesto di un aggiornamento di sicurezza.
Si ritiene che gli attacchi siano stati organizzati contro diverse organizzazioni governative in uno stato membro della CSI senza nome .
"Lo scopo principale della backdoor era stabilire un punto d'appoggio nel sistema attaccato e scaricare altri componenti dannosi", hanno affermato i ricercatori, oltre a trovare una serie di somiglianze che vanno dallo schema di crittografia agli stessi errori di ortografia che collettivamente suggeriscono la "possibilità di paternità comune o pratiche di sviluppo condivise".
Questa non è la prima volta che vengono scoperte sovrapposizioni tra i diversi strumenti utilizzati dall'autore della minaccia. All'inizio di quest'anno, l' analisi di Kaspersky su Sunburst ha rivelato una serie di funzionalità condivise tra il malware e Kazuar, una backdoor basata su .NET attribuita al gruppo Turla. È interessante notare che la società di sicurezza informatica ha affermato di aver rilevato Tomiris in reti in cui altre macchine sono state infettate da Kazuar, aggiungendo peso alle prospettive che le tre famiglie di malware possano essere collegate tra loro.
Detto questo, i ricercatori hanno sottolineato che potrebbe anche trattarsi di un attacco false flag, in cui gli attori della minaccia riproducono deliberatamente le tattiche e le tecniche adottate da un noto avversario nel tentativo di fuorviare l'attribuzione.
La rivelazione arriva giorni dopo che Microsoft ha preso in carico un impianto passivo e altamente mirato soprannominato FoggyWeb che è stato impiegato dal gruppo Nobelium per fornire payload aggiuntivi e rubare informazioni sensibili dai server Active Directory Federation Services (ADFS).
Commenti
Posta un commento